Sur mon système fraîchement installé, je n’ai pour l’instant quasiment rien installé (AdGuard et SnappyMail), mais j’ai déjà reçu deux emails de rapport du diagnostic m’indiquant:
Système de base (basesystem)
=================================
[WARNING] Il y a eu récemment un grand nombre d'échecs d'authentification. Assurez-vous que Fail2Ban est en cours d'exécution et est correctement configuré, ou utilisez un port personnalisé pour SSH comme expliqué dans https://yunohost.org/security.
En allant consulter les logs de Fail2ban, je vois des tas de messages. Extrait:
2022-12-09 12:18:16,137 fail2ban.filter [460]: INFO [pam-generic] Found 182.74.47.252 - 2022-12-09 12:18:16
2022-12-09 12:18:17,873 fail2ban.filter [460]: INFO [sshd] Found 182.74.47.252 - 2022-12-09 12:18:17
2022-12-09 12:18:42,628 fail2ban.filter [460]: INFO [pam-generic] Found 103.187.117.53 - 2022-12-09 12:18:42
2022-12-09 12:18:44,600 fail2ban.filter [460]: INFO [sshd] Found 103.187.117.53 - 2022-12-09 12:18:44
2022-12-09 12:19:07,663 fail2ban.filter [460]: INFO [sshd] Found 103.255.216.43 - 2022-12-09 12:19:07
2022-12-09 12:19:07,664 fail2ban.filter [460]: INFO [pam-generic] Found 103.255.216.43 - 2022-12-09 12:19:07
2022-12-09 12:19:10,369 fail2ban.filter [460]: INFO [sshd] Found 103.255.216.43 - 2022-12-09 12:19:10
2022-12-09 12:20:58,933 fail2ban.filter [460]: INFO [pam-generic] Found 152.89.196.123 - 2022-12-09 12:20:58
2022-12-09 12:21:01,638 fail2ban.filter [460]: INFO [sshd] Found 152.89.196.123 - 2022-12-09 12:21:01
2022-12-09 12:22:26,668 fail2ban.filter [460]: INFO [pam-generic] Found 185.81.68.191 - 2022-12-09 12:22:26
2022-12-09 12:22:28,388 fail2ban.filter [460]: INFO [sshd] Found 185.81.68.191 - 2022-12-09 12:22:28
Pour l’instant, je n’ai pas donné l’adresse de mon serveur à qui que ce soit, donc aucune chance que ces accès aient été demandés par des “utilisateurs”.
Que faut-il faire pour éviter ces attaques ? Faut-il changer le port SSH comme préconisé dans les emails ? Ou y a-t-il quelque chose d’autre à faire ?
Je continue de recevoir ces emails, bien que je ne voie plus de message dans les logs de fail2ban: faut-il redémarrer fail2ban après avoir modifié le port SSH ?
Dans ce cas je regarderais ce qu’il y a dans /var/log/auth.log (qui est un peu plus complexe que les autres logs) car le diagnostique vérifie indirectement ce log qui contient d’autres tentatives d’authentification que juste celles sur SSH
Depuis quelques jours, j’ai également recu ce message à de nombreuses reprises.
Il y a eu récemment un grand nombre d'échecs d'authentification. Assurez-vous que Fail2Ban est en cours d'exécution et est correctement configuré, ou utilisez un port personnalisé pour SSH comme expliqué dans https://yunohost.org/security.
Mon installation est plus ancienne et c’est la 1ère fois que j’ai ce genre de msg. Depuis le début j’ai changé le port SSH.