LF_SSHD block

[dkstopo]

καλήμερα

καθημερινά λαμβάνω εκατοντάδες ειδοποιήσεις στο mailbox για το site μου από διάφορες ip ανα τον κόσμο

τι μπορώ να κάνω για να σταματήσει?  ο vps τρέχει με centos 7

Αναφορά σε κείμενο

Time:     Fri Sep 18 08:08:54 2020 +0300
IP:       195.24.129.234 (UA/Ukraine/140-234.trifle.net)
Failures: 5 (sshd)
Interval: 3600 seconds
Blocked:  Permanent Block [LF_SSHD]

Log entries:

Sep 18 07:52:27 sv sshd[19916]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=195.24.129.234  user=root
Sep 18 07:52:29 sv sshd[19916]: Failed password for root from 195.24.129.234 port 44918 ssh2
Sep 18 08:05:00 sv sshd[20703]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=195.24.129.234  user=root
Sep 18 08:05:02 sv sshd[20703]: Failed password for root from 195.24.129.234 port 33724 ssh2
Sep 18 08:08:53 sv sshd[20962]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=195.24.129.234  user=root

 

[GeorgeKatz]

Βάλε ένα denyhosts για αρχή και οι επαναλαμβανομενες IP θα σταματήσουν.

https://linuxhint.com/install-denyhosts-on-ubuntu/

 

Ως συνέχεια θα πρότεινα να τρέχεις το sshd  σε κάποια πόρτα λιγότερο δημοφιλή από την 22. Αν "ανέβεις" στην πχ 50022 θα εισαι πιο προστατευμένος από όλους αυτούς που σαρώνουν την πόρτα 22.

Εχει και συνέχεια πχ port knocking, αλλα ξεκίνα με τα δύο παραπάνω και βλέπεις πώς πάει.