Da ore i miei tre server stanno facendo da palco a uno spettacolo monotono… brute-force SSH, un tentativo al secondo, più o meno, come un metronomo ossessivo.
Parliamo di macchine che ospitano cose leggere, tipo Mastodon, Matrix, searXNG, Pixelfed e SNAC2. Quindi no, non è proprio il Raspberry dietro al modem.
Potrebbe essere il classico bot che ha pescato tre IP diversi a caso e ha deciso che oggi si gioca a “indovina la password”.
Però, lo dico, il dubbio che sia mirata questa serenata ce l’ho. Quando ti suonano alla porta di casa, del garage e pure del ripostiglio… inizi a farti domande.
Fino a ieri io stavo nel mondo comodo:
utente + password robusta.
Funziona, è pratico, soprattutto se cambi PC spesso e vuoi entrare al volo.
Oggi invece si passa alla modalità “ok, basta”.
Coppia di chiavi cifrate, password disattivata, accesso blindato.
È meno comodo: ogni PC che uso deve avere le chiavi, e non è esattamente “clicca e vai”.
Ma la porta non è più “chiusa bene”.
È saldata.
Morale della favola… anche oggi ho fatto esperienza.
Bella giornata.🙏
#bruteforce
Come volevasi dimostrare... appena blindata la porta con le chiavi, il metronomo si è stancato di suonare.
Gli attacchi sono calati di colpo su tutti e tre i server.
Siamo tornati alla situazione normale... qualche tentativo occasionale ogni tanto, il solito rumore di fondo di Internet.
Insomma, niente più concerto continuo. Solo la solita statica.🙏
@snow@snowfan.it Sempre meglio usare chiavi, ma se le password erano forti il rischio era praticamente nullo. Comunque non credo sia mirato, su tutti i pc miei e server che ho usato e che hanno sshd in ascolto ho sempre visto un sacco di tentativi di brute force di quel tipo, in continuazione; può essere che hai guardato i log e te ne sei accorto solo oggi?
Comunque anch'io se appena posso configuro sshd perché accetti solo tentativi di login con chiave, e per evitare il costante flood dei log, che altrimenti c'è comunque, lo configuro perché ascolti su una porta diversa dalla 22 (che associo all'host sui client in "~/.ssh/config", così non devo ricordarmi tutte le volte di passare "-p [numero porta]" a ssh).
Un'altra soluzione molto usata è https://github.com/fail2ban/fail2ban - «Fail2Ban scans log files like /var/log/auth.log and bans IP addresses conducting too many failed login attempts. It does this by updating system firewall rules to reject new connections from those IP addresses, for a configurable amount of time. Fail2Ban comes out-of-the-box ready to read many standard log files, such as those for sshd and Apache, and is easily configured to read any log file of your choosing, for any error you wish.»
𝕊𝕟𝕠𝕨 :tux: :Debian: :gnu:
