Fail2ban: Comment bloquer la mauvaise version du protocole ?

Il n'y a pas d'échecs au sens de l'authentification (car la connexion n'a pas lieu).
Mais si vous le voulez encore, copiez simplement filter.d/sshd.conf dans filter.d/sshd.local et ajoutez ce qui suit au failregex :

^%(__prefix_line)sBad protocol version identification '.*' from <HOST> port \d+\s*$
^%(__prefix_line)sDid not receive identification string from <HOST>\s*$

Salut @sebres ,
Pourrions-nous penser à ajouter la règle Bad protocol version au filtre SSHd s'il vous plaît ?
Je suis également confronté à ces messages...
Bad protocol version identification '.........' from A.B.C.D port 1234
Merci beaucoup 👍

J'ai soumis PR # 2404 pour cela :)

Script simple pour générer un tel journal :

 watch -n 0.01 curl -m 1 127.0.0.1:22

Dos/ddos potentiels pour sshd :warning: Je pense que c'est urgent

Le correctif (#2404) a été fusionné en 0.10/0.11 pour le mode ddos ou aggressive .

Dos/ddos potentiels pour l'avertissement sshd, je pense que c'est urgent

Eh bien, DDOS est potentiellement possible pour n'importe quel service (sshd n'est pas une exception ici), et il est également effectivement résoluble à l'aide d'autres outils, par exemple des règles spéciales comme la limitation du taux de connexion (requête totale par IP/sous-réseau par minute, tentatives SYN sur sshd ou tous les ports), interdiction du port-scanning, etc.

Les principaux objectifs de Fail2ban sont les problèmes d'authentification, donc enfermés dans un des modes mentionnés uniquement, donc c'est maintenant suffisant comme configuration pour l'activer (si le filtre/fail2ban est mis à niveau vers 0.10.5) :

[sshd]
mode = aggressive
enabled = true

Pour fail2ban \<= 0.10.5 (mais >= 0.10) :

[sshd]
mode = aggressive
failregex = %(known/failregex)s
            ^Bad protocol version identification '.*' from <HOST>
enabled = true

Pour 0.9 et ci-dessous, voir mon commentaire ci-dessus.