管理しているサーバーに、logcheckを入れてログをメールで飛ばしているのだが、
6/25辺りから、いつもと異なるパターンのログが吐かれていている。

Jun 25 05:47:24 hostA sshd[19759]: Invalid user admin from xxx.xxx.xxx.xxx port 36316
Jun 25 05:47:24 hostA sshd[19759]: error: maximum authentication attempts exceeded for invalid user admin from xxx.xxx.xxx.xxx port 36316 ssh2 [preauth]
Jun 25 05:47:24 hostA sshd[19759]: Disconnecting: Too many authentication failures [preauth]

よく見かけるのは、1セッション1回のブルートフォースなのだが、
userがadmin限定で、1セッションに複数回、認証を試行している。で、最大試行回数を超えたので、sshdがセッションを切ったと。

そもそも管理しているサーバーは、私しかログインしないので、ばっさり送信元IPを絞っても良いのだが、出先からログインする事も考え、日本国内のIPのみ、アクセスできるように制限している。
logcheckは1時間に1回チェックして、(条件に合致したログがあると)メールを飛ばしてくるのだが、1時間に上記3行か6行。
つまり、1時間辺り1IPか2IPの割合で来ている。
これらのログを見ると送信元IPのサーバーはbotか何かで、発射台になってるんだろうな・・・と思う。

とりあえず打てる手として、
sshd_configで認証失敗時の再試行回数設定(MaxAuthTries)を1に変更した。

送信元のIPの傾向として、
Jun 25 09:46:25 hostB sshd ...(略)... invalid user admin from xxx.xxx.xxx.130
Jun 25 10:21:55 hostB sshd ...(略)... invalid user admin from xxx.xxx.xxx.243
Jun 25 10:21:58 hostB sshd ...(略)... invalid user admin from xxx.xxx.xxx.154
Jun 25 12:08:57 hostB sshd ...(略)... invalid user admin from xxx.xxx.xxx.45
Jun 25 12:27:23 hostB sshd ...(略)... invalid user admin from xxx.xxx.xxx.33
Jun 25 17:52:59 hostB sshd ...(略)... invalid user admin from xxx.xxx.xxx.92
Jun 25 18:25:24 hostB sshd ...(略)... invalid user admin from xxx.xxx.xxx.191
Jun 25 18:49:51 hostB sshd ...(略)... invalid user admin from xxx.xxx.xxx.173
Jun 25 22:28:58 hostB sshd ...(略)... invalid user admin from xxx.xxx.xxx.189
Jun 26 12:25:23 hostB sshd ...(略)... invalid user admin from xxx.xxx.xxx.163
Jun 26 15:23:21 hostB sshd ...(略)... invalid user admin from xxx.xxx.xxx.135

と送信元IPはバラバラで、一気にしかけてこない。

送信元IPが同じなら、ACLかけられるのになぁ。。

2022/07/06更新
相変わらずバラバラのIPで突きに来るなぁ。
fail2banで、ログ(/var/log/secure)に一定期間中に同一IPが一定回数記録するとbanするように組み込んでいるけど、
バラバラだと自動banされない。1発banにしてしまうと、出先で私がミス(パスワード誤入力)った場合に、banされると困るし。
現在収集しているIPを静的ACLかけても、たぶん効果薄いのでSSHの待ち受けポートを変更した。
これはこれで運用が面倒なんだけど、致し方ない。