Ich habe mehr 500 in auth.log (SSH-Portänderung auf 23):
Ich habe mehr:
sshd[20620]: Bad protocol version identification 'guest' from 124.244.54.245 port 39405
sshd[16472]: Did not receive identification string from 87.76.240.167
Wie kann man das in Regeln blockieren!!?
Dies sind keine Fehler im Sinne der Authentifizierung (weil ein Login nicht stattfindet).
Aber wenn Sie das noch wollen, kopieren Sie einfach filter.d/sshd.conf
in filter.d/sshd.local
und fügen Sie Folgendes zu failregex
hinzu:
^%(__prefix_line)sBad protocol version identification '.*' from <HOST> port \d+\s*$
^%(__prefix_line)sDid not receive identification string from <HOST>\s*$
Hallo @Sebres ,
Könnten wir bitte darüber nachdenken, die Bad protocol version
-Regel zum SSHd-Filter hinzuzufügen?
Ich stehe auch vor diesen Meldungen...
Bad protocol version identification '.........' from A.B.C.D port 1234
Vielen Dank 👍
Ich habe PR #2404 dafür eingereicht :)
Einfaches Skript zum Generieren eines solchen Protokolls:
watch -n 0.01 curl -m 1 127.0.0.1:22
Mögliche dos/ddos für sshd :warning: Ich denke, es ist dringend
Fix (#2404) wurde in 0.10/0.11 für Modus ddos
oder aggressive
zusammengeführt.
Mögliche dos/ddos für sshd-Warnung Ich denke, es ist dringend
Nun, DDOS ist potenziell für jeden Dienst möglich (sshd ist hier keine Ausnahme), und es ist auch mit anderen Tools effektiv lösbar, zum Beispiel Sonderregeln wie die Begrenzung der Verbindungsrate (Gesamtanfrage pro IP/Subnetz pro Minute, SYN-Versuche an sshd oder alle Ports), Verbot des Port-Scannens usw.
Primäre Ziele von Fail2ban sind Authentifizierungsprobleme, daher nur in einem der erwähnten Modi enthalten, sodass dies jetzt als Konfiguration ausreicht, um es zu aktivieren (wenn der Filter/fail2ban auf 0.10.5 aktualisiert wird):
[sshd]
mode = aggressive
enabled = true
Für fail2ban \<= 0.10.5 (aber >= 0.10):
[sshd]
mode = aggressive
failregex = %(known/failregex)s
^Bad protocol version identification '.*' from <HOST>
enabled = true
Für 0.9 und darunter siehe meinen Kommentar oben.
Hilfreichster Kommentar
Dies sind keine Fehler im Sinne der Authentifizierung (weil ein Login nicht stattfindet).
Aber wenn Sie das noch wollen, kopieren Sie einfach
filter.d/sshd.conf
infilter.d/sshd.local
und fügen Sie Folgendes zufailregex
hinzu: