Tengo una Raspberry Pi orientada a Internet en una conexión de Internet privada y, la última vez que la configuré, no me molesté en instalar una forma de bloquear direcciones IP desde las cuales muchos intentos de inicio de sesión SSH fallaron al intentar iniciar sesión en SSH el futuro cercano porque simplemente no veo el punto de la misma.
Todo esto resultó en entradas de registro con este aspecto:
2016-10-01 14:28:25 root failed 119.249.54.88:56388
2016-10-01 14:28:26 root failed 121.18.238.104:43921
2016-10-01 14:28:27 root failed 119.249.54.88:56388
2016-10-01 14:28:28 root failed 121.18.238.104:43921
2016-10-01 14:28:30 root failed 119.249.54.88:56388
2016-10-01 14:28:30 root failed 121.18.238.104:43921
2016-10-01 14:28:34 root failed 121.18.238.104:41379
2016-10-01 14:28:35 root failed 121.18.238.104:41379
2016-10-01 14:28:35 root failed 119.249.54.88:60430
2016-10-01 14:28:37 root failed 121.18.238.104:41379
2016-10-01 14:28:37 root failed 119.249.54.88:60430
2016-10-01 14:28:41 root failed 121.18.238.104:42230
2016-10-01 14:28:41 root failed 119.249.54.88:60430
El registro solo muestra los intentos de inicio de sesión a través de una contraseña, ya que intentar iniciar sesión a través de la autenticación de clave pública sería aún más ridículo. La gran mayoría de los intentos de inicio de sesión intentan iniciar sesión como root
, que en el caso de mis raspi, por supuesto, ni siquiera puedo iniciar sesión. Hasta ahora, ningún intento de inicio de sesión ni siquiera adivinó un nombre de usuario válido ( pi
se ha adivinado con bastante frecuencia, pero no existe en mi Raspi), y mucho menos se puede iniciar sesión a través del nombre de usuario y la contraseña.
¿Hay algún beneficio de seguridad al bloquear dichas direcciones IP durante unos minutos? La posibilidad de un sistema con solo contraseñas complejas (para los usuarios que pueden iniciar sesión a través del nombre de usuario y la contraseña) parece ser básicamente 0. Incluso con solo una contraseña ASCII imprimible de 8 caracteres (que sería patético, por supuesto), el nombre de usuario está garantizado para ser correcto (ya que uno nunca debe asumir que un nombre de usuario sea un secreto), y 100 intentos de inicio de sesión por segundo (lo que mi conexión de Internet lenta probablemente ni siquiera puede manejar), eso es literalmente ~ 1 millón de años hasta el éxito esperado.
Si bloqueo estos intentos de inicio de sesión, lo único que voy a hacer es decirles a los atacantes que vayan a atacar a otra persona y tal vez me bloqueen por unos minutos si me equivoco con la contraseña con demasiada frecuencia (sucedió solo una vez, por lo tanto, lejos y configuré el tiempo para bloquear en algo así como 2 minutos, así que solo tuve que esperar un corto período de tiempo). No veo por qué esto sería aconsejado. Simplemente parece tan innecesario. ¿Me estoy perdiendo algo?