Attualmente sto configurando un server Web Apache su una macchina Linux a casa mia. Sto lavorando a un progetto di sito Web che consentirà agli utenti di accedere per completare determinati lavori. Non esiste una registrazione aperta su questo sito. Gli account devono essere rilasciati dall'amministratore (che attualmente è io).
Dato che ho configurato questo server, voglio anche assicurarmi di averlo al sicuro, al meglio delle mie capacità. La mia conoscenza è relativamente limitata per quanto riguarda la sicurezza all'avanguardia.
Ho installato alcuni pacchetti Linux per monitorare e bloccare attivamente le connessioni sospette.
Sto guardando attraverso i miei registri, ma non sono completamente sicuro di capire tutto ciò che sto leggendo. Ho iptables
e fail2ban
. Ho circa tre pagine di voci di registro ogni ora simili a quegli esempi di seguito. Da queste informazioni fornite, sembra che la mia sicurezza sia stata impostata correttamente? La voce che mi interessa è quella che contiene com.jcraft.jsch.JSchException
, che è un java exploit noto.
Per essere onesti, non sono nemmeno sicuro se sto facendo le domande giuste. Sono disposto ad imparare. Ho semplicemente bisogno di una guida e delle risorse da cui apprendere. Posso gestire le critiche costruttive.
Ecco un paio di esempi dei tipi di voci che sto vedendo.
Apr 10 10:02:10 gcems sshd[29230]: Unable to negotiate with 103.79.143.42 port 52068: no
+matching key exchange method found. Their offer: diffie-hellman-group1-sha1 [preauth]
Apr 10 10:03:08 gcems sshd[29398]: Did not receive identification string from
+212.83.140.166 port 46529
Apr 10 10:03:43 gcems sshd[29548]: Invalid user support from 163.172.114.203 port 54291
Apr 10 10:03:45 gcems sshd[29548]: error: Received disconnect from 163.172.114.203 port
+54291:3: com.jcraft.jsch.JSchException: Auth fail [preauth]
Apr 10 10:03:45 gcems sshd[29548]: Disconnected from 163.172.114.203 port 54291 [preauth]