Re: [HS] Possible attaque SSH

To: debian-user-french@lists.debian.org
Cc: Sil <smog1@free.fr>
Subject: Re: [HS] Possible attaque SSH
From: "ajh-valmer" <ajh.valmer@free.fr>
Date: Tue, 22 Feb 2022 12:23:17 +0100
Message-id: <[🔎] 202202221223.17872.ajh.valmer@free.fr>
In-reply-to: <[🔎] c2b03add-12ca-93d9-28ca-8b756b07c4c4@free.fr>
References: <[🔎] c2b03add-12ca-93d9-28ca-8b756b07c4c4@free.fr>

On Tuesday 22 February 2022 09:27:46 Sil wrote:
> Bonjour la liste,
> Pourriez-vous m'enlever un doute... sur un réseau local derrière une 
> box, j'ai des postes w$ DHCP et un serveur Debian stable à jour. Ce 
> serveur est accessible via SSH sur le réseau local via le port classique 
> et depuis l’extérieur sur un autre port via le NAT de la box. Seule 
> l’authentification par clé est autorisée.
> J'ai un utilisateur qui s'est plaint d'avoir été banni par Fail2ban. 
> Après quelques recherches dans les logs, j'ai trouvé plusieurs 
> tentatives de connexions SSH via des adresses locales.
> Un exemple de log :
> /var/log/auth.log.2.gz:Feb  7 09:34:58 monserveur sshd[XXXX]: 
> Disconnected from invalid user Admin 192.168.X.X port XXXX [preauth]
> Est-il possible que l'attaque vienne quand même de l’extérieur ? Ou 
> faut-il suspecter les postes w$ ?

Hello,

J'ai un serveur, il ne faut pas trop s'inquiéter du fichier "/var/log/auth.log",
ce sont des milliers de tentatives de connexion / jour, sans résultats,
(souvent par une méthode automatique) si le serveur possède
les outils classiques de protection, failban, firewall, connexions que par
clés SSH (publique et privée)...

A. Valmer

Reply to:

References:
- [HS] Possible attaque SSH
  - From: Sil <smog1@free.fr>

Prev by Date: Re: [HS] Possible attaque SSH
Next by Date: Re: [HS] Possible attaque SSH
Previous by thread: Re: [HS] Possible attaque SSH
Next by thread: KVM et réseau en mode utilisateur
Index(es):
- Date
- Thread