Fail2ban: Wie blockiere ich eine fehlerhafte Protokollversion?

Dies sind keine Fehler im Sinne der Authentifizierung (weil ein Login nicht stattfindet).
Aber wenn Sie das noch wollen, kopieren Sie einfach filter.d/sshd.conf in filter.d/sshd.local und fügen Sie Folgendes zu failregex hinzu:

^%(__prefix_line)sBad protocol version identification '.*' from <HOST> port \d+\s*$
^%(__prefix_line)sDid not receive identification string from <HOST>\s*$

Hallo @Sebres ,
Könnten wir bitte darüber nachdenken, die Bad protocol version -Regel zum SSHd-Filter hinzuzufügen?
Ich stehe auch vor diesen Meldungen...
Bad protocol version identification '.........' from A.B.C.D port 1234
Vielen Dank 👍

Ich habe PR #2404 dafür eingereicht :)

Einfaches Skript zum Generieren eines solchen Protokolls:

 watch -n 0.01 curl -m 1 127.0.0.1:22

Mögliche dos/ddos für sshd :warning: Ich denke, es ist dringend

Fix (#2404) wurde in 0.10/0.11 für Modus ddos oder aggressive zusammengeführt.

Mögliche dos/ddos für sshd-Warnung Ich denke, es ist dringend

Nun, DDOS ist potenziell für jeden Dienst möglich (sshd ist hier keine Ausnahme), und es ist auch mit anderen Tools effektiv lösbar, zum Beispiel Sonderregeln wie die Begrenzung der Verbindungsrate (Gesamtanfrage pro IP/Subnetz pro Minute, SYN-Versuche an sshd oder alle Ports), Verbot des Port-Scannens usw.

Primäre Ziele von Fail2ban sind Authentifizierungsprobleme, daher nur in einem der erwähnten Modi enthalten, sodass dies jetzt als Konfiguration ausreicht, um es zu aktivieren (wenn der Filter/fail2ban auf 0.10.5 aktualisiert wird):

[sshd]
mode = aggressive
enabled = true

Für fail2ban \<= 0.10.5 (aber >= 0.10):

[sshd]
mode = aggressive
failregex = %(known/failregex)s
            ^Bad protocol version identification '.*' from <HOST>
enabled = true

Für 0.9 und darunter siehe meinen Kommentar oben.