Einbruchsversuche

[Herbie]

Hallo,

ich beobachte auf meinem Server täglich massenhaft Einbruchsversuche. Logwatch berichtet die wie folgt:

message repeated 3 times: [ Failed password for root from 222.186.175.220 port 50460 ssh2] : 1 time(s)
message repeated 2 times: [ Failed password for root from 222.186.3.249 port 13608 ssh2] : 1 time(s)
message repeated 2 times: [ Failed password for root from 222.186.31.127 port 51896 ssh2] : 1 time(s)
message repeated 2 times: [ Failed password for root from 222.186.180.17 port 29238 ssh2] : 1 time(s)
message repeated 2 times: [ Failed password for root from 222.186.31.127 port 27612 ssh2] : 1 time(s)
message repeated 2 times: [ Failed password for root from 222.186.31.204 port 27671 ssh2] : 1 time(s)
message repeated 2 times: [ Failed password for root from 222.186.31.204 port 20497 ssh2] : 1 time(s)
message repeated 2 times: [ Failed password for root from 222.186.31.127 port 47741 ssh2] : 1 time(s)

Mit

sudo iptables -A INPUT -m iprange --src-range 222.168.3.1-222.168.176.255 -j DROP

habe ich versucht zu verhindern, dass Jungs auch China überhaupt auf den Login kommen. Trotzdem gibt es weiter die Versuche wie oben. Warum funktioniert das nicht?

[Joe User]

Deaktiviere den Passwort-Login und verwende stattdessen den Login mittels Keys, das ist insbesondere für den root-Account erheblich sicherer und nebenbei kannst Du dann diese Logzeilen getrost ignoreren.

IPs zu bannen ist immer nur der allerletzte Schritt wenn wirklich nichts anderes mehr hilft, da diese Bans einfach zu umgehen sind.

[ddm3ve]

Altes Thema aber aktuelle Frage:
Wenn Passwort authentifizirung deaktiviert ist, was ich pauschal mache:

Kann man die Meldung zu Login Versuche mit Passwort abstellen?
Filtern, ja im Kibana. Aber es machts einfach unübersichtlich und produziert unnötig Datenmüll.