Cientos de intentos fallidos de inicio de sesión: ¿es normal?

¿Esto es normal?

Sí. Esto sucede todo el tiempo.

¿A qué se debe probablemente?

Bots que intentan acceder a su sistema. Si tienen éxito, podrían abusar de su sistema para hacer lo mismo con otras máquinas.

¿Hay algo de qué preocuparse?

En pocas palabras: si ha desactivado el inicio de sesión basado en contraseña, entonces no.

¿Hay alguna medida que deba tomar para reducir estos intentos?

Puedes usar algo como fail2ban.

Sí, estaría más preocupado si no lo hicieras.

Es una buena idea...

• cambia tu puerto ssh (común)
• elimine paquetes de direcciones IP desconocidas si tiene un rango de fuentes confiable.
• agregar autenticación multifactor
• golpe de puerto
• firewall/servicio programado (solo ejecute ssh cuando lo necesite, acceso de emergencia a través de la consola)
• Instale fail2ban para reducir los reincidentes.

No, no es normal, pero se ha convertido en algo común debido a valores predeterminados deficientes, usuarios desinformados, piratas informáticos y evaluadores de seguridad.

Si tiene contraseñas buenas y seguras o utiliza claves y mucho espacio para sus archivos de registro, entonces no hay nada de qué preocuparse.

Sin embargo, una gran solución para limpiar esto es configurar la automatización para que el propietario de la red de origen (la fuente) reciba una notificación de que esto se está haciendo desde su red, para que puedan actuar rápidamente para bloquearla y limpiar. arriba. La mayor parte de este tráfico es una señal de que hay malware en su red que bloquea las máquinas o que los usuarios lo hagan para proteger a otros usuarios que podrían ser víctimas de posibles exploits o usuarios nefastos.

Todos los usuarios nefastos que ejecutan botnets e intentan apoderarse de sus dispositivos, por supuesto, rechazarán esto.