从昨天开始,我开始在 auth.log 中看到数千条这样的消息
sshd[3635916]: banner exchange: 来自 202.142.184.68 端口 24571 的连接: 格式无效
上面显示的相同 IP 地址出现了近 17,000 次,其他各种 IP 地址出现了约 500 次。端口一直在变化,我想知道这是否是暴力破解尝试。我启用了 ufw,其中包括几分钟前添加的这条规则
任何地方 拒绝 202.142.184.68
但这并没有阻止消息。iplocation 将 IP 地址放在巴基斯坦。我已将 ssh 设置为仅允许从一个端口进行连接,并且它不是 ssh 的默认端口。对于我在服务器上的用户 ID,我使用安全密钥进行 ssh(Putty),无需密码。
有什么方法可以阻止这些 sshd 连接尝试,或者其他什么。我是否应该尝试 fail2ban,如如何阻止 ssh 机器人尝试以 root 身份进行 SSH 连接?
顺便说一下,服务器是 22.04.1
答案1
我的服务器每 40 秒左右就会收到一次登录尝试。我使用 RSA 身份验证,因此没有人登录,但流量太大了。我将 SSH 端口从 22 更改为另一个未使用的端口。现在我每天收到的尝试次数不到一次。其中一些尝试包括横幅交换请求,而 sshd.config 已将其设置为拒绝。