Re: [HS] Possible attaque SSH
On Tuesday 22 February 2022 09:27:46 Sil wrote:
> Bonjour la liste,
> Pourriez-vous m'enlever un doute... sur un réseau local derrière une
> box, j'ai des postes w$ DHCP et un serveur Debian stable à jour. Ce
> serveur est accessible via SSH sur le réseau local via le port classique
> et depuis l’extérieur sur un autre port via le NAT de la box. Seule
> l’authentification par clé est autorisée.
> J'ai un utilisateur qui s'est plaint d'avoir été banni par Fail2ban.
> Après quelques recherches dans les logs, j'ai trouvé plusieurs
> tentatives de connexions SSH via des adresses locales.
> Un exemple de log :
> /var/log/auth.log.2.gz:Feb 7 09:34:58 monserveur sshd[XXXX]:
> Disconnected from invalid user Admin 192.168.X.X port XXXX [preauth]
> Est-il possible que l'attaque vienne quand même de l’extérieur ? Ou
> faut-il suspecter les postes w$ ?
Hello,
J'ai un serveur, il ne faut pas trop s'inquiéter du fichier "/var/log/auth.log",
ce sont des milliers de tentatives de connexion / jour, sans résultats,
(souvent par une méthode automatique) si le serveur possède
les outils classiques de protection, failban, firewall, connexions que par
clés SSH (publique et privée)...
A. Valmer
Reply to: