Saya memiliki lebih dari 500 di auth.log (port ssh berubah menjadi 23):
Aku punya lebih:
sshd[20620]: Bad protocol version identification 'guest' from 124.244.54.245 port 39405
sshd[16472]: Did not receive identification string from 87.76.240.167
Bagaimana cara memblokir ini dalam aturan !!?
Ini bukan kegagalan dalam arti otentikasi (karena login tidak terjadi).
Tetapi jika Anda menginginkannya, cukup salin filter.d/sshd.conf
ke filter.d/sshd.local
dan tambahkan yang berikut ke failregex
:
^%(__prefix_line)sBad protocol version identification '.*' from <HOST> port \d+\s*$
^%(__prefix_line)sDid not receive identification string from <HOST>\s*$
Hai @sebres ,
Bisakah kita berpikir untuk menambahkan aturan Bad protocol version
ke filter SSHd ?
Saya juga menghadapi pesan-pesan ini ...
Bad protocol version identification '.........' from A.B.C.D port 1234
Terima kasih banyak 👍
Saya telah mengirimkan PR #2404 untuk ini :)
Skrip sederhana untuk menghasilkan log seperti itu:
watch -n 0.01 curl -m 1 127.0.0.1:22
Dos/ddos potensial untuk sshd :warning: Saya pikir ini mendesak
Fix (#2404) telah digabungkan menjadi 0.10/0.11 untuk mode ddos
atau aggressive
.
Potensi dos/ddos untuk peringatan sshd Saya pikir ini mendesak
Yah, DDOS berpotensi memungkinkan untuk layanan apa pun (sshd bukan pengecualian di sini), dan juga dapat dipecahkan secara efektif menggunakan alat lain, misalnya aturan khusus seperti membatasi laju koneksi (permintaan total per IP/subnet per menit, upaya SYN pada sshd atau semua port), melarang pemindaian port, dll.
Tujuan utama Fail2ban adalah masalah otentikasi, oleh karena itu tertutup dalam mode yang disebutkan saja, jadi ini sekarang cukup sebagai konfigurasi untuk mengaktifkannya (jika filter/fail2ban ditingkatkan ke 0.10.5):
[sshd]
mode = aggressive
enabled = true
Untuk fail2ban \<= 0.10.5 (tetapi >= 0.10):
[sshd]
mode = aggressive
failregex = %(known/failregex)s
^Bad protocol version identification '.*' from <HOST>
enabled = true
Untuk 0.9 dan di bawah lihat komentar saya di atas.
Komentar yang paling membantu
Ini bukan kegagalan dalam arti otentikasi (karena login tidak terjadi).
Tetapi jika Anda menginginkannya, cukup salin
filter.d/sshd.conf
kefilter.d/sshd.local
dan tambahkan yang berikut kefailregex
: