我實際上有 5 次非終端登入嘗試 root,
透過 59.47.112.161 ssh:notty 的 sshd 對 root 進行身份驗證失敗
(中國)在 Fail2ban 完成其工作並封鎖 IP 之前。這是在防火牆本身上,SSH 僅暴露於 LAN 子網路。
我知道,如果 SSH 伺服器暴露在互聯網上,這種情況很常見,但 SSH 存取應該只適用於公司內部網絡,如果我需要透過 SSH 遠端執行任何操作,我可以透過 VPN 進入網路。我也沒有數千個失敗的根登入嘗試的日誌條目,因此它並不表明我有配置錯誤,但你永遠不知道。我已經檢查了一遍又一遍,沒有找到任何無意中允許訪問 22 的規則。如果我嘗試遠端登入 SSH,連線會逾時並且不會觸發任何日誌條目或警告。
這是自從 ClearOS 仍稱為 Clarkconnect 以來我一直在運行的防火牆設定的預設配置,這是第一次發生這種情況。我不確定完全停用 root 是否會破壞 Web 配置 gui,但我已經禁用了 root SSH 登入並設定了 sudo 用戶。
任何人都可以闡明這種情況如何/為什麼會發生,以便我可以防止它再次發生嗎?