Alguém pode me ajudar? Estava analisando o arquivo /var/log/auth.log da minha VPS e possui esses registros, ao meu ver são registros de ips que estão tentando conectar na minha VPS, provavelmente estão tentando realizar algum ataque para tentar invadir a mesma. Como faço para evitar isso? A todo segundo que vejo, sempre há um ip novo, provavelmente é algum ataque de força bruta.
Minha VPS também tem interface gráfica, da pra chegar na tela de login da interface gráfica facilmente através de uma conexão RDP e o ip público. Mas nessa parte do login vai precisar do usuário e senha corretos.
Saida do comando: cat /var/log/auth.log | grep "Disconnected" | tail
Jul 23 20:20:16 6yer sshd[97091]: Disconnected from authenticating user root (ip) port 36382 [preauth]
Jul 23 20:21:29 6yer sshd[97094]: Disconnected from invalid user admin (ip) port 48020 [preauth]
Jul 23 20:21:44 6yer sshd[97099]: Disconnected from invalid user admin (ip) port 58808 [preauth]
Jul 23 20:22:42 6yer sshd[97110]: Disconnected from invalid user test3 (ip) port 59639 [preauth]
Jul 23 20:23:25 6yer sshd[97120]: Disconnected from (ip) port 50877 [preauth]
Jul 23 20:23:55 6yer sshd[97126]: Disconnected from invalid user admin (ip) port 43031 [preauth]
Jul 23 20:24:49 6yer sshd[97133]: Disconnected from invalid user dmdba (ip) port 42560 [preauth]
Jul 23 20:25:09 6yer sshd[97138]: Disconnected from invalid user yy (ip) port 54695 [preauth]
Jul 23 20:26:25 6yer sshd[97232]: Disconnected from invalid user guest (ip) port 38112 [preauth]
Jul 23 20:26:26 6yer sshd[97230]: Disconnected from authenticating user root (ip) port 34416 [preauth]
Mais logs:
Jul 23 20:40:26 6yer sshd[97454]: error: kex_exchange_identification: read: Connection reset by peer
Jul 23 20:40:34 6yer sshd[97455]: error: kex_exchange_identification: read: Connection reset by peer
Jul 23 20:40:44 6yer sshd[97456]: error: kex_exchange_identification: read: Connection reset by peer
Jul 23 20:41:29 6yer sshd[97461]: Received disconnect from (ip) port 40786:11: Bye Bye [preauth]
Jul 23 20:41:29 6yer sshd[97461]: Disconnected from authenticating user root (ip) port 40786 [preauth]
Isso aí foi tentativa de acesso remoto via SSH.
Uma boa prática é alterar a porta padrão (22) para outra não associada a nenhum serviço, de preferência. Altera isso em /etc/ssh/sshd_config (só garante de autorizar a nova porta no firewall, se tiver, se não tens firewall, instala um). Outra boa prática, é limitar o acesso via SSH direto ao usuário root. Cria um usuário comum, e faz o acesso com ele, se precisar do root, com esse usuário comum executa $ su - root e insere a senha de root.
Muito obrigado pelas informações acima! Eu utilizo uma chave pública para conectar através do SSH, não tem como conectar através de senha, pois isso está desabilitado no /etc/ssh/sshd_config. Porém, como eu tenho uma interface gráfica, eu consigo conectar nessa interface gráfica apenas com o ip público, mas só vai conseguir entrar completamente na máquina se digitar o usuário/senha na parte de login da interface gráfica, por uma conexão RDP, através do SSH não tem como, mas por RDP sim.
Sempre que conecto através do IP PÚBLICO da VPS, aparece essa tela de login, mesmo eu não inserindo nenhuma senha, só com ip mesmo, não sei se isso tem algum problema.
Sobre o usuário, eu utilizo o usuário “ubuntu” para efetuar o login, tanto no SSH quanto na interface gráfica através de uma conexão RDP.
Nesse caso, conversa com o pessoal da tua VPS para ver se há como desabilitar ou alterar a porta desse serviço de interface. Por isso que quando o meu orçamento me permite, eu uso dou preferência a usar serviços como Linode, Digital Ocean e Google Cloud. Assim eu escolho o sistema, e consigo usar sem muitos penduricalhos, só o necessário.
Entendi, mas você sabe me dizer se existe muito problema nisso? Eu tenho uma senha de fato muito segura, só a senha segura, será que já resolve todo esse problema de invasão ou a qualquer momento alguém vai invadir minha VPS? A todo momento que vejo existe novos IPs tentando logar na VPS.
O ip da minha VPS é inevitável alguém não ter, pois o mesmo provavelmente foi utilizado por outras pessoas, então sempre vai ter tentativas de logins na minha VPS, posso estar errado, não sei se é normal.
Na maioria das vezes são tentativas de acesso automatizadas, quem está tentando invadir normalmente usa bots para ir tentando acesso. Altera a porta padrão para uma que não seja usual e depois reinicia o serviço de SSH (assegurando que a nova porta está liberada para tu poderes entrar). Aí o atacante teria que scannear todas as portas do teu servidor.
Se após alterar a porta, passado um tempo, os ataques recomeçarem é sinal que alguém ativamente está tentando invadir o teu servidor. É só tomar cuidado, manter os pacotes da tua distro atualizados, definir uma política de acesso consistente, não expor à rede nada além do necessário, enfim: reduzir potenciais vetores de ataque.
Não sei qual é o propósito da tua VPS mas no geral as pessoas hospedam sites, se for esse o teu caso, confere as configurações do teu servidor para ele passar o mínimo de informações possível (ambiente de produção).
Também é uma boa, o problema é que geralmente esses ataques automatizados partem de endereços distintos.
Quanto mais camadas de proteção, desde que não inviabilizem o projeto, melhor.