Fail2Ban e auth.log di dimensioni bibliche

[Moffetta88]

Ho una decina di vps ( se non di più ) ma ce n'è una, la prima che presi, che mi sta dando rogne.
SO: ubuntu vivid server ( sì lo so, è da aggiornare, ma non posso )
Interfaccia di gestione: webmin ( mi trovo molto bene )
Sistemi di sicurezza: fail2ban
Servizi esposti: apache2 (80/443), nodejs/express ( 8888 ), webmin (10000 ), ftp, ssh e mysql ed un ipotetico mongodb che è stato eliminato alla grande perchè creava problemi.

Ieri sera vedevo che c'era fail2ban che mi ciucciava il 40% di cpu ( è un monocore la vps ) allora sono andato a vedere prima /var/log/auth.log ed era tipo 1.3GB, poi quello /var/log/fail2ban.log ed era sui 400MB...

Modificando il logrotate.conf e poi dando il comando ho snellito i log, ma ho continui tentativi di login tramite ssh e tty
Per il momento tramite fail2ban ho impostato tentativi 3 e poi permaban, avete qualche suggerimento per aumentare la sicurezza o che non mi popoli log infiniti?

 

[r3dl4nce]

Fatti cambiare IP pubblico, disattiva accesso a ssh con password (solo certificato) o ancora meglio management via VPN

 

[Moffetta88]

Grazie mille per i consigli!
Il cambio di ip è impossibile purtroppo ( ci sono sopra servizi/db/siti )...
Provvederò a fare cambio del protocollo di autenticazione e farlo solo tramite certificato + password. La vpn potrebbe essere una soluzione, ma purtroppo ho due servizietti che lavorano direttamente in ssh e potrebbe essere un problema :/
Intanto ho cambiato tutte le password stanotte ed aggiornato tutti i software. Dove potevo ho messo tutti gli accessi in blacklist tranne il mio ip in whitelist..

 

[r3dl4nce]

I servizi / siti ecc dovrebbero tutti usare un dns no? Chiedi un cambio IP al gestore della vps, se può farlo (tipo Aruba lo fa in certi casi) e poi aggiorni i dns.
Se hai servizi che accedono direttamente in ssh, io li varierei subito, creando una vpn tra i due server e a quel punto accessi in ssh tramite vpn
Alternativa puoi anche gestire iptables della vps chiudendo le porte su cui hai attacchi e attivandole tramite port knocking

 

[Moffetta88]

Accedono tutti su dns, mai direttamente con ip. Però se faccio variazione ip vado a perdere l'indicizzazione del sito no?
Ho già mandato comunque una segnalazione al provider che mi ha risposto che hanno già riscontrato dati anomali ddos e che gran parte del traffico lo stanno bloccando loro...

Alternativa puoi anche gestire iptables della vps chiudendo le porte su cui hai attacchi e attivandole tramite port knocking

Effettivamente...
Oppure aspetto che tutti gli indirizzi ip della Cina siano nella blacklist ahahahah ( prima o poi finiranno )

 

[centoventicinque]

sta succedendo la stessa cosa a me, ip cinesi che tentano di loggarsi con ssh a nome " petr"

 

[Moffetta88]

sta succedendo la stessa cosa a me, ip cinesi che tentano di loggarsi con ssh a nome " petr"

"buono" a sapersi, almeno non sono solo l'unico. A causa di una cosa simile ho dovuto togliere persino l'accesso da remoto del nas di casa mia. Avevo dai 15 ai 20 tentativi di accesso al secondo :( ed infatti in casa ho blindato tutto con vpn

 

[r3dl4nce]

Io personalmente sono abbastanza tranquillo con ssh root solo con certificato

 

[Moffetta88]

Io personalmente sono abbastanza tranquillo con ssh root solo con certificato

vero vero, ma ormai se hai aperto le porte persino per le lampadine ti iniziano a bombardare di tentativi di login...
Per "gioco" ho aperto un portalino su porta 80 del mio ip con una schermata di login.. Devi vedere quanta gente tenta di loggarsi.. Uno schifo