在过去的几个小时里,一些来自中国的机器(好吧,据说)一直试图以 root 身份通过 SSH 进入我的机器,但失败了。其中一些(全部?)IP 如下:
218.65.30.53
221.194.47.221
115.238.245.2
115.238.245.4
221.194.47.239
我使用基于 Web 的 whois 来检查它们,并已向滥用报告地址写信。我应该做什么?在我的机器上和一般情况下?
答案1
有一些事情你可以做(而且可以说应该做)。
实施 VPN,并且只允许通过 VPN 进行访问。这将大大减少攻击面。
使用 Fail2Ban 或同等方法阻止暴力攻击。
要求登录使用公钥/私钥身份验证。
通过在 /etc/ssh/sshd_config 中添加 AllowUsers 指令来添加允许的用户列表,其中包含允许的用户列表(和关联的 IP 地址)
禁用 root 登录(或者如果需要,严格限制为特定的静态 IP 地址,如上文第 4 点所述)