Ich hatte buchstäblich 5 Nicht-Terminal-Login-Versuche zum Rooten,
Authentifizierungsfehler für Root über SSHD von 59.47.112.161 ssh:notty
(China), bevor Fail2ban seine Arbeit tat und die IP blockierte. Dies lag an der Firewall selbst und SSH ist nur den LAN-Subnetzen ausgesetzt.
Mir ist bewusst, dass dies häufig vorkommt, wenn der SSH-Server dem Internet ausgesetzt ist, aber SSH-Zugriff nur für das interne Firmennetzwerk verfügbar sein soll. Ich greife per VPN auf das Netzwerk zu, wenn ich per SSH aus der Ferne etwas tun muss. Ich habe auch nicht Tausende von Protokolleinträgen für fehlgeschlagene Root-Anmeldeversuche, sodass dies kein Hinweis auf einen Konfigurationsfehler ist, aber man kann nie wissen. Ich habe alles überprüft und noch einmal überprüft und kann keine Regeln finden, die versehentlich Zugriff auf 22 erlauben. Vorschläge, wo ich suchen soll, sind willkommen. Wenn ich versuche, mich per Fernzugriff bei SSH anzumelden, wird die Verbindung abgebrochen und es werden keine Protokolleinträge oder Warnungen ausgelöst.
Dies war die Standardkonfiguration der Firewall, die ich verwende, seit ClearOS noch Clarkconnect hieß. Dies ist das erste Mal, dass dies passiert ist. Ich bin nicht sicher, ob das vollständige Deaktivieren von Root die Webkonfigurations-GUI beschädigt, aber ich habe die Root-SSH-Anmeldung deaktiviert und einen Sudo-Benutzer eingerichtet.
Kann mir jemand erklären, wie/warum das passiert ist, damit ich verhindern kann, dass es wieder passiert?