Bloker IP på Debian server

Bloker IP på Debian server

Hvis du som jeg har en hjemmeserver med SSH adgang, vil du opleve at vilkårlige IP’er forsøger at få adgang til din server – Tit og ofte er det kinesiske IP’er som bruger brute force metoden til at få adgang.

Brute force betyder at de har en lang liste med brugernavne og password som en bot smider efter din server i håb om at det virker.

Dette kan bruge ressourcer og i værste tilfælde kan de få adgang.
Det gider vi ikke.

Bloker IP på Debian server

Først skal du checke dine logs.

sudo nano /var/log/auth.log

Her vil alle forsøg være listet. Nedenfor er der et eksempel på en IP som forsøgte at få adgang til min server.

Feb  8 06:55:45 mediaserver sshd[5906]: Failed password for root from 183.3.202.113 port 30098 ssh2
Feb  8 06:55:47 mediaserver sshd[5906]: Failed password for root from 183.3.202.113 port 30098 ssh2
Feb  8 06:55:51 mediaserver sshd[5906]: Failed password for root from 183.3.202.113 port 30098 ssh2
Feb  8 06:55:52 mediaserver sshd[5906]: Received disconnect from 183.3.202.113: 11:  [preauth]
Feb  8 06:55:52 mediaserver sshd[5906]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=183.3.202.113  user=root
Feb  8 06:55:56 mediaserver sshd[5926]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=183.3.202.113  user=root

Hvis vi checker IP’en, ser vi at den er kinesisk.
Bloker IP på Debian server

Vi kan blokere IP’en fuldstændigt fra serveren hvilket vil sige at de ikke engang får prompt om user/pass når de forsøger at tilslutte sig. Dette gøres ved at skrive følgende i commandline.

iptables -A INPUT -s x.x.x.x -j DROP

Her udskifter du selvfølgelig x.x.x.x med den egentlige IP addresse.

Det er også en god idé at installere Fail2Ban på din server hvilket automatisk blokerer IP addresser som skriver user/pass forkert 5 gange.

Stay safe!

Passioneret IT nørd med mange års erhvervs erfaring, både i indland og udland.