两天内 auth.log 中有 19,000 次 root 密码尝试失败？

我正在调试一些登录问题，碰巧注意到我的 /var/log/auth.log 中有很多失败的 root 密码尝试。这是一个 VPS Linode。

我通过 grep 查找了过去两天的 19K 次尝试。

我知道我应该将 sshd 移至其他端口，但似乎很难记住和使用，而且需要更新一堆脚本。此外，攻击者难道不能只通过端口扫描来找到新端口吗？

我为 root 设置了一个非常强的密码，因此我并不是太担心。

我猜每分钟只有 6 次......所以可能不是一个性能问题。

但这似乎并不理想。

关于如何阻止或预防它，您有什么想法吗？

似乎来自一个相当小的 IP 地址列表...也许我可以阻止这些？我检查了几个，它们似乎在中国。

另一个选项是禁用 root 登录并使用唯一用户名设置 sudo 用户。但我不认为这会解决这个特定问题——人们仍然可以尝试以 root 身份通过 ssh 登录...

更新：使用默认设置安装 apt-get install fail2ban 后，我发现 auth.log 中的 root 尝试失败次数减少了 6-8 倍：

root@localhost:/var/log# grep "Failed password for root" auth.log | wc
    21301  327094 2261733
root@localhost:/var/log# grep "May  1.*Failed password for root" auth.log | wc
    6217   95973  664165
root@localhost:/var/log# grep "May  2.*Failed password for root" auth.log | wc
    8370  127280  880779
root@localhost:/var/log# grep "May  3.*Failed password for root" auth.log | wc
    1030   16250  111837

我还消除了 root ssh 密码验证，并按照以下步骤仅为 root 切换为基于密钥的登录：https://unix.stackexchange.com/questions/99307/permit-root-to-login-via-ssh-only-with-key-based-authentication

但这并不能阻止失败的密码条目出现在 auth.log 中。这只是意味着，即使他们知道密码，他们也无法通过。因此，fail2ban 减少了这些日志条目，而基于密钥的 root ssh 提供了真正的安全性。

最后，按照建议，我已将端口 22 列入 IP 白名单，以完全消除日志条目。作为参考，可以在 Ubuntu 上使用 ufw 完成此操作，如下所示：

apt-get install ufw
ufw allow from 127.198.4.3 to any port 22
ufw --force enable

我在其中使用 --force 是因为当我启动新节点时，我在脚本中以非交互方式执行此操作。

但是，为了处理来自我的动态 IP 的访问，并且不需要每次我的 IP 改变时都弄乱 Linode 的基于 Web 的 Lish 控制台，我使用了混合方法。

我有一台主服务器，托管我的主域，其他节点根据需要启动，作为子域上的子服务器。主服务器保存用于 ssh 进入子服务器的私钥。它也是 ssh 白名单中的 IP。

但是主服务器不使用 ssh 密钥，也不使用 IP 白名单。我希望能够在紧急情况下从任何地方访问它，即使我没有密钥文件，或者甚至从我不信任安装密钥文件的地方。我需要类似密码访问的东西，但在密钥记录或 ssh 受损的环境中是安全的。

我多年来一直在使用的解决方案是基于硬件的双因素身份验证，使用 YubiKey USB 设备和安装在主服务器上的 Yubico PAM 模块。

因此，即使攻击者拥有主服务器的 root 密码，他们也无法在没有我的 YubiKey 的情况下进入。而且 YubiKey 很容易随身携带。我可以从世界上最肮脏的网吧安全地访问我的服务器的 root 权限。

到达主服务器后，我可以无需密码通过 ssh 进入任何子服务器。

因此，我仍然需要在主服务器上使用 fail2ban，以减少 auth.log 条目。毕竟，子服务器上不需要它，因为 IP 白名单可以解决这个问题。