私は文字通り5回も非ターミナルでルートログインを試みましたが、
59.47.112.161 ssh:notty からの sshd 経由の root 認証に失敗しました
(中国) Fail2ban が機能して IP をブロックする前。これはファイアウォール自体にあり、SSH は LAN サブネットにのみ公開されています。
SSH サーバーがインターネットに公開されている場合、これはよくあることだと認識していますが、SSH アクセスは会社の内部ネットワークでのみ利用可能であることになっています。リモートで SSH 経由で何かを行う必要がある場合は、ネットワークに VPN で接続します。また、失敗したルート ログイン試行に関するログ エントリが何千件もないため、構成エラーが発生しているわけではありませんが、何が起こるかわかりません。何度も確認しましたが、22 へのアクセスを誤って許可しているルールは見つかりませんでした。どこを調べればよいか、アドバイスがあれば歓迎します。リモートで SSH にログインしようとすると、接続がタイムアウトし、ログ エントリや警告はトリガーされません。
これは、ClearOS がまだ Clarkconnect と呼ばれていた頃から実行しているファイアウォール設定のデフォルト設定であり、このようなことが起こるのは初めてです。ルートを完全に無効にすると Web 設定 GUI が壊れるかどうかはわかりませんが、ルート SSH ログインを無効にして、sudo ユーザーを設定しました。
誰かが、これがどのように/なぜ起こるのかを明らかにして、再発を防ぐことができるでしょうか?