
Tuve literalmente 5 intentos de inicio de sesión sin terminal para rootear,
Fallo de autenticación para root a través de sshd desde 59.47.112.161 ssh:notty
(China) antes de que Fail2ban hiciera su trabajo y bloqueara la IP. Esto estaba en el propio Firewall y SSH solo está expuesto a las subredes LAN.
Soy consciente de que esto es común si el servidor SSH está expuesto a Internet, pero se supone que el acceso SSH solo está disponible para la red interna de la empresa. Conecto VPN a la red si necesito hacer algo a través de SSH de forma remota. Tampoco tengo miles de entradas de registro para intentos fallidos de inicio de sesión de root, por lo que no indica que tenga un error de configuración, pero nunca se sabe. Lo revisé una y otra vez y no puedo encontrar ninguna regla que permita inadvertidamente el acceso a 22. Cualquier sugerencia sobre dónde buscar sería bienvenida. Si intento iniciar sesión en SSH de forma remota, las conexiones se agotan y no activan ninguna entrada de registro ni advertencia.
Esta era la configuración predeterminada en la configuración del firewall que he estado ejecutando desde que ClearOS todavía se llamaba Clarkconnect, esta es la primera vez que esto sucede. No estoy seguro de si deshabilitar completamente la raíz romperá la interfaz gráfica de usuario de configuración web, pero deshabilité el inicio de sesión SSH de la raíz y configuré un usuario sudo.
¿Alguien puede arrojar algo de luz sobre cómo y por qué sucedería esto para poder evitar que vuelva a suceder?