Сотни неудачных попыток входа в систему: это нормально?

Это нормально?

Да. Это происходит постоянно.

Чем это может быть вызвано?

Боты пытаются получить доступ к вашей системе. Если им это удастся, они могут использовать вашу систему, чтобы сделать то же самое с другими машинами.

Есть ли повод для беспокойства?

Вкратце: если вы отключили вход по паролю, то нет.

Есть ли какие-то шаги, которые мне следует предпринять, чтобы сократить количество таких попыток?

Вы можете использовать что-то вроде fail2ban.

Да, я бы больше беспокоился, если бы вы этого не сделали.

Это хорошая идея...

• измените свой порт ssh (общий)
• отбрасывайте пакеты с неизвестного IP-адреса, если у вас есть надежный диапазон источника.
• добавить многофакторную аутентификацию
• стук в порт
• запланированный брандмауэр/служба (запускайте ssh только при необходимости, аварийный доступ через консоль)
• установите fail2ban, чтобы сократить количество рецидивистов

Нет, это не нормально, но это стало обычным явлением из-за некорректных настроек по умолчанию, неинформированных пользователей, хакеров и тестировщиков безопасности.

Если у вас хорошие и надежные пароли или ключи, а также достаточно места для файлов журналов, то беспокоиться не о чем.

Однако отличным решением для очистки этого является настройка автоматизации, чтобы владелец исходной сети (источник) получал уведомление о том, что это делается из его сети, чтобы он мог быстро заблокировать это и очистить. Большая часть этого трафика является признаком вредоносного ПО в вашей сети, блокирующего машины или пользователей, делая это, вы защитите других пользователей, которые могут стать жертвами потенциальных эксплойтов или злонамеренных пользователей.

Все злонамеренные пользователи, запускающие ботнеты и пытающиеся захватить ваши устройства, конечно же, проголосуют против этого.