¿Es esto un ataque de fuerza bruta?
Esto se parece al análisis en segundo plano que experimentará cualquier servidor en Internet.
¿Debería estar preocupado?
En realidad, no, el análisis en segundo plano es completamente normal, siempre que sus contraseñas sean seguras, el análisis en segundo plano no debería representar ningún riesgo.
Cuáles son los mejores pasos de mitigación
Puede usar lo siguiente para hacer que el servidor sea más seguro:
- Permitir solo el inicio de sesión con autenticación de clave
- Deshabilitar el acceso ssh raíz
- Utilice un sistema como Fail2Ban para bloquear los intentos de fuerza bruta
¿Debería cambiar de IP
Cambiar las direcciones IP probablemente no afectará mucho el análisis en segundo plano automatizado
Como ya se señaló en los comentarios anteriores, cambiar las direcciones IP NO evitar que sea escaneado por escáneres maliciosos.
Resumiré los pasos necesarios para realmente asegure su servicio SSH:
- como la gente ha mencionado anteriormente:cambie el puerto a un valor no estándar (puerto alto), p. un valor como 13322. Esto no es un real ventaja de seguridad, pero hace que sea más difícil para cualquier bot encontrar el puerto SSH activo.
- ¡ÚNICAMENTE use claves seguras para la autenticación, si es posible, desactive la autenticación de teclado con contraseñas por completo!
- Utilice el servicio fail2ban, que está disponible para cualquier sistema similar a Unix/derivado de Linux. Este servicio prohibirá automáticamente una IP específica después de n intentos de autenticación fallidos durante un tiempo definido. La prohibición se realiza a través de las reglas de iptables, por lo que iptables es un requisito.