On Tuesday 22 February 2022 09:27:46 Sil wrote: > Bonjour la liste, > Pourriez-vous m'enlever un doute... sur un réseau local derrière une > box, j'ai des postes w$ DHCP et un serveur Debian stable à jour. Ce > serveur est accessible via SSH sur le réseau local via le port classique > et depuis l’extérieur sur un autre port via le NAT de la box. Seule > l’authentification par clé est autorisée. > J'ai un utilisateur qui s'est plaint d'avoir été banni par Fail2ban. > Après quelques recherches dans les logs, j'ai trouvé plusieurs > tentatives de connexions SSH via des adresses locales. > Un exemple de log : > /var/log/auth.log.2.gz:Feb 7 09:34:58 monserveur sshd[XXXX]: > Disconnected from invalid user Admin 192.168.X.X port XXXX [preauth] > Est-il possible que l'attaque vienne quand même de l’extérieur ? Ou > faut-il suspecter les postes w$ ?
Hello, J'ai un serveur, il ne faut pas trop s'inquiéter du fichier "/var/log/auth.log", ce sont des milliers de tentatives de connexion / jour, sans résultats, (souvent par une méthode automatique) si le serveur possède les outils classiques de protection, failban, firewall, connexions que par clés SSH (publique et privée)... A. Valmer