J'ai plus de 500 dans auth.log (port ssh changé en 23):
J'en ai plus:
sshd[20620]: Bad protocol version identification 'guest' from 124.244.54.245 port 39405
sshd[16472]: Did not receive identification string from 87.76.240.167
Comment bloquer cela dans les règles !!?
Il n'y a pas d'échecs au sens de l'authentification (car la connexion n'a pas lieu).
Mais si vous le voulez encore, copiez simplement filter.d/sshd.conf
dans filter.d/sshd.local
et ajoutez ce qui suit au failregex
:
^%(__prefix_line)sBad protocol version identification '.*' from <HOST> port \d+\s*$
^%(__prefix_line)sDid not receive identification string from <HOST>\s*$
Salut @sebres ,
Pourrions-nous penser à ajouter la règle Bad protocol version
au filtre SSHd s'il vous plaît ?
Je suis également confronté à ces messages...
Bad protocol version identification '.........' from A.B.C.D port 1234
Merci beaucoup 👍
J'ai soumis PR # 2404 pour cela :)
Script simple pour générer un tel journal :
watch -n 0.01 curl -m 1 127.0.0.1:22
Dos/ddos potentiels pour sshd :warning: Je pense que c'est urgent
Le correctif (#2404) a été fusionné en 0.10/0.11 pour le mode ddos
ou aggressive
.
Dos/ddos potentiels pour l'avertissement sshd, je pense que c'est urgent
Eh bien, DDOS est potentiellement possible pour n'importe quel service (sshd n'est pas une exception ici), et il est également effectivement résoluble à l'aide d'autres outils, par exemple des règles spéciales comme la limitation du taux de connexion (requête totale par IP/sous-réseau par minute, tentatives SYN sur sshd ou tous les ports), interdiction du port-scanning, etc.
Les principaux objectifs de Fail2ban sont les problèmes d'authentification, donc enfermés dans un des modes mentionnés uniquement, donc c'est maintenant suffisant comme configuration pour l'activer (si le filtre/fail2ban est mis à niveau vers 0.10.5) :
[sshd]
mode = aggressive
enabled = true
Pour fail2ban \<= 0.10.5 (mais >= 0.10) :
[sshd]
mode = aggressive
failregex = %(known/failregex)s
^Bad protocol version identification '.*' from <HOST>
enabled = true
Pour 0.9 et ci-dessous, voir mon commentaire ci-dessus.
Commentaire le plus utile
Il n'y a pas d'échecs au sens de l'authentification (car la connexion n'a pas lieu).
Mais si vous le voulez encore, copiez simplement
filter.d/sshd.conf
dansfilter.d/sshd.local
et ajoutez ce qui suit aufailregex
: