Per Conoscere gli indirizzi ip che hanno tentato di accedere tramite ssh è possibile visualizzare il file log auth.log con il seguente comando
1 |
grep "sshd.*Failed password" /var/log/auth.log |
se ad esempio troviamo un indirizzo ip sospetto possiamo cercare di recuperare qualche informazione con il comando whois
1 |
whois 192.168.168.168 |
per modificarer i tentativi di accesso modificare il file /etc/ssh/sshd_config
, modificare la riga
1 |
MaxAuthTries 3 |