Eu tive literalmente 5 tentativas de login sem terminal para fazer root,
Falha de autenticação para root via sshd de 59.47.112.161 ssh:notty
(China) antes do Fail2ban fazer o seu trabalho e bloquear o IP. Isso estava no próprio Firewall e o SSH só é exposto às sub-redes da LAN.
Estou ciente de que isso é comum se o servidor SSH estiver exposto à Internet, mas o acesso SSH deve estar disponível apenas para a rede interna da empresa. Eu faço VPN na rede se precisar fazer algo via SSH remotamente. Também não tenho milhares de entradas de log para tentativas malsucedidas de login root, então isso não indica que tenho um erro de configuração, mas nunca se sabe. Eu verifiquei e verifiquei novamente e não consigo encontrar nenhuma regra que permita inadvertidamente o acesso ao 22. Qualquer sugestão de onde todos procurar seria bem-vinda. Se eu tentar fazer login no SSH remotamente, as conexões expirarão e não acionarão nenhuma entrada de log ou avisos.
Esta foi a configuração padrão na configuração do firewall que executo desde que o ClearOS ainda se chamava Clarkconnect, é a primeira vez que isso acontece. Não tenho certeza se desabilitar completamente o root irá quebrar a interface de configuração da web, mas desabilitei o login SSH do root e configurei um usuário sudo.
Alguém pode esclarecer como/por que isso aconteceria para que eu possa evitar que aconteça novamente?