ForoRaspberry.es

Buenos días. Desde hacen tres o cuatro días, logwatch me avisa de intentos de acceso via ssh.
Siguiendo este tutorial, https://www.neoguias.com/bloquear-ips-p ... -fail2ban/, cree un jail para que banee de manera permanente estas ips.
El fichero creado así, ip.blocklist.ssh esta aqui: https://pastebin.com/8BWkq0nY
Yo entiendo que fail2ban hace muy bien su trabajo, bloquea y banea esas ips (corregidme si no estoy en lo cierto, por favor).
Pero mis preguntas son:
1. ¿Por qué de repente empezaron estos ataques? ¿Hice yo algo mal, o es simplemente ataque random?
2. A parte de lo que hice con fail2ban, que otras medidas podria aplicar para minimizar/reducir estos intentos fraudulentos de conexión/ataque?
3. ¿Si modifico en ssh.conf el puerto, de 22 a cualquier otro, es suficiente? ¿O he de cambiar en sshd tambíen, poniendo el mismo puerto, claro?

Perdonad la ristra de preguntas, pero no encuentro explicación a tan repentina cantidad de ataques...

Gracias de antemano.

Si tienes el puerto 22 abierto a internet, es cuestión de tiempo que alguien, de forma manual o automatizada, encuentre un servidor SSH intente forzarlo. Y cuando digo alguien, también digo algo.

Tendrás cientos o miles de conexiones desde cientos de IPs distintas.
Fail2ban bloqueará las conexiones desde una IP, pero te atacarán desde otras, y al final necesitarías tener bloqueado a medio internet.
¿Es práctico fail2ban? Si
¿Resuelve Fail2ban el problema? No

Opciones
a) No expongas el acceso SSH a todo el mundo
b) No expongas el puerto 22 a internet.

1 - En mi opinión, es un ataque random: una red de bots ha localizado una ip con un puerto abierto y se ha lanzado a intentar conquistar acceso y unirla a la red. Lo de la red me parece claro, porque si haces whois sobre las ip atacantes verás que proceden de todas partes (USA, Alemania, Brasil, Palestina...).

2- Si tienes una ip pública dinámica, lo mejor es apagar un rato el router para que tome una nueva ip; sino, cambiar el puerto ssh y todos los demás que tengas abiertos (los menos posibles) te ayudará. Ante un ataque, tener los puertos por defecto no es una buena idea.

Gracias a los dos, @egrueda y @Marciano por la respuesta. Me dispongo a cambiar el puerto, a quitarlo desde el router y a comprobar luego cómo conectarme. Muy amables en echarme una mano.
Buen fin de semana, señores.

danpacu escribió: 04 Mar 2023, 11:56 y a comprobar luego cómo conectarme

Tres letras: V, P y N

egrueda escribió: 04 Mar 2023, 12:05

danpacu escribió: 04 Mar 2023, 11:56 y a comprobar luego cómo conectarme

Tres letras: V, P y N

jajajajajja - gracias por la aclaración. A estudiar se ha dicho.... jejej

egrueda escribió: 04 Mar 2023, 12:05 Tres letras: V, P y N