Preocupación sobre "ataque" a mi raspi

[danpacu]

Buenas noches a tod@s.
llevo tres días que veo en el reporte de logwatch algo inusual.
Aqui: https://pastebin.com/v8K4GUZm el extracto del logwatch.
Lo que hice hasta ahora, desde la primer vez que vi "illegal users":
- comprobe el estado de ufw - milagrosamente ya no estaba instalado (yo no lo desinstalé en ningún momento). Lo reinstalé.
Añadi la primera regla:

Código: Seleccionar todo

 sudo ufw status numbered
Status: active

     To                         Action      From
     --                         ------      ----
[ 1] Anywhere                   DENY IN     193.46.255.5    

De esto hacen tres días. Y me sigue apareciendo. Tengo que entender que dicha IP sigue "atacando" miraspi por sshd, queriendo conectarse?
Tengo tambien fail2ban activo, que milagrosamente dejo de tener activas varias jails (sshd entre ellas) y lo volví a activar.
Ahora mismo tengo la sigueinte configuración de fail2ban:

Código: Seleccionar todo

sudo fail2ban-client status 
Status
|- Number of jail:	2
`- Jail list:	apache-auth, sshd

Que más puedo hacer para impedir intentos de acceso a mi raspi? Lo que tengo ahora mismo es suficiente y lo que me sale en logwatch es el resultado de dichos firewalls (es decir que ufw hace su papel, y fail2ban tambien)? Me tengo que preocupar más todavía?
Cualquier consejo que me ayude a blindar más, (no se si es posible o no) bienvenido sea.
Gracias de antemano.

LAte edit: como medida adicional acabo de banear con sudo fail2ban-client set sshd ban la_ip mencionada arriba.

[egrueda]

Los "Illegal users" son los intentos de login que han hecho, presumiblemente por SSH
Que sean "illegal" significa que no han podido hacer login.

Haces bien en usar fail2ban, así bloqueas a los reincidentes.
Yo personalmente cerraría el acceso al puerto 22 desde fuera, salvo por VPN

[danpacu]

Yo personalmente cerraría el acceso al puerto 22 desde fuera, salvo por VPN

Buenos días, @ egrueda. cómo exactamente puedo hacer esto, con la particularidad del VPN??
(por otro lado, no consigo aclararme cómo conectarme desde el móvil utilizando una llave ssh - y asi deshabilitar el acceso con contraseña).

En cuanto a los reincidentes con fail2ban, en cuanto activo la seccion [recidive] me da error el servicio y no inicializa (no se si estoy poniendo algo mal u en otro orden pero no consigo activar la sección recidive).
gracias por la explicación, por cierto.

[egrueda]

Buenos días, @ egrueda. cómo exactamente puedo hacer esto, con la particularidad del VPN??

Simplemente cerrando el puerto 22 en tu router ;-)

(por otro lado, no consigo aclararme cómo conectarme desde el móvil utilizando una llave ssh - y asi deshabilitar el acceso con contraseña).

Tienes que (1) generar un par de claves pública-privada, despu-es (2) copiar la clave pública en tu raspi, en el usuario que desees, denro de ~/.ssh/authorized_keys y finalmente (3) configurar sshd para que no permita el acceso con contraseña.
Hay muchos artículos y tutoriales al respecto, es algo habitual.

En cuanto a los reincidentes con fail2ban, en cuanto activo la seccion [recidive] me da error el servicio y no inicializa (no se si estoy poniendo algo mal u en otro orden pero no consigo activar la sección recidive).

Tendrás que ver cuál es exactamente el error (journalctl), seguramente sea un problema de sintaxis

[danpacu]

Simplemente cerrando el puerto 22 en tu router ;-)

Esto está hecho. POr fin conseguí instalar y dejar funcional openvpn en la raspi y en el móvil (me costó entender que hacía exactamente - hasta que lo entendí). Punto acalarado.
EN cuanto a las llaves ssh - gracías a tus explicaciónes en un post previo de hace casi dos años (el mejor tutorial y explicación que encontré, solo para que lo tengas en cuenta, jejejej) funciono así - con las llaves. El punto que me causa problemas es el móvil - no encontré manera alguna para utilizar la llave desde el móvil (o generarla desde el móvil). Allí es donde muero en la ecuación movil-raspi-llave ssh. (que desde que creaste el post simplemente lo pongo en práctica sin rechistar - desde el ordenador). Pero bueno, paso a paso - desactivo primero el puerto en el router.
Lo que no consegui explicarme es porque me había desaparecido ufw (que tuve que reinstalarlo) o porque se me desactivaron los jails de fail2ban - ya que yo no llevé a cabo acciones en esa dirección.
A estudiar más toca.
Gracias por la ayuda.

[egrueda]

El punto que me causa problemas es el móvil - no encontré manera alguna para utilizar la llave desde el móvil (o generarla desde el móvil). Allí es donde muero en la ecuación movil-raspi-llave ssh.

A ver, eso no tiene mucha historia. Necesitas:
- tu clave privada que debes tener en el ordenador
- copiar la clave privada al móvil
- en la aplicación cliente de ssh para el móvil, decirle que use esa clave privada

Si la app no soporta claves privadas, esa app no te vale :-)

[danpacu]

Si la app no soporta claves privadas, esa app no te vale :-)

Jajajajajajja - razón tienes. En mi iPhone utilizo iTerminal - y me acaba de decir la app que la llave es "unsupported file type". Además cuando le digo Select Key - tan solo me dice que no tengo llave alguna, pero no me deja la opcion de navegar en el telefono para seleccionar dicha llave. Tendré que buscar otra app? (ya se que diras que los de apple son muy elitistas, pero es lo que tengo ahora mismo, jejeje).
Seguiré escarbando a ver si encuentro otra app que sea válida para poder utilizar la llave y entonces blindaré mas el acceso por ssh.

[danpacu]

Tendrás que ver cuál es exactamente el error (journalctl), seguramente sea un problema de sintaxis

Buenas noches.
Razón tenías - el jorunactl me dijo que pasaba con recidive: la duplicaba y por ello fallaba el reinicio del servicio. Corregido esto, ya esta funcionando, y la jail de recidive esta habilitada.
Gracias por apuntarme en la dirección correcta.