Сотни неудачных попыток входа в систему: это нормально?

Это нормально?

Да. Это происходит постоянно.

Чем это может быть вызвано?

Боты пытаются получить доступ к вашей системе. В случае успеха они могут злоупотребить вашей системой, чтобы сделать то же самое с другими машинами.

Есть о чем беспокоиться?

В двух словах: если вы отключили вход на основе пароля, то нет.

Что я должен предпринять, чтобы уменьшить количество этих попыток?

Вы можете использовать что-то вроде fail2ban.

Да, я был бы более обеспокоен, если бы вы этого не сделали.

Это хорошая идея ...

• измените свой порт ssh (общий)
• отбрасывать пакеты с неизвестного IP-адреса, если у вас есть надежный источник.
• добавить многофакторную аутентификацию
• стук порта
• запланированный брандмауэр / служба (запускайте ssh только тогда, когда вам это нужно, аварийный доступ через консоль)
• установите fail2ban, чтобы уменьшить количество повторных нарушителей

Нет, это ненормально, но это стало обычным делом благодаря неправильным настройкам по умолчанию, неосведомленным пользователям, хакерам и тестерам безопасности.

Если у вас есть надежные и надежные пароли или ключи, а также достаточно места для файлов журнала, то вам не о чем беспокоиться.

Тем не менее, отличное решение для очистки этого - настроить автоматизацию, чтобы владелец исходной сети (источник) получал уведомление о том, что это делается из его сети, чтобы они могли действовать быстро, чтобы заблокировать ее и очистить это вверх. Большая часть этого трафика является признаком вредоносного ПО в вашей сети, блокирующего машины, или пользователи, которые делают это, будут защищать других пользователей, которые могут стать жертвами потенциальных эксплойтов или гнусных пользователей.

Все гнусные пользователи, запускающие ботнеты и пытающиеся захватить ваши устройства, конечно же, проголосуют против.