Fail2ban: Bagaimana cara memblokir versi protokol yang buruk?

Ini bukan kegagalan dalam arti otentikasi (karena login tidak terjadi).
Tetapi jika Anda menginginkannya, cukup salin filter.d/sshd.conf ke filter.d/sshd.local dan tambahkan yang berikut ke failregex :

^%(__prefix_line)sBad protocol version identification '.*' from <HOST> port \d+\s*$
^%(__prefix_line)sDid not receive identification string from <HOST>\s*$

Hai @sebres ,
Bisakah kita berpikir untuk menambahkan aturan Bad protocol version ke filter SSHd ?
Saya juga menghadapi pesan-pesan ini ...
Bad protocol version identification '.........' from A.B.C.D port 1234
Terima kasih banyak 👍

Saya telah mengirimkan PR #2404 untuk ini :)

Skrip sederhana untuk menghasilkan log seperti itu:

 watch -n 0.01 curl -m 1 127.0.0.1:22

Dos/ddos potensial untuk sshd :warning: Saya pikir ini mendesak

Fix (#2404) telah digabungkan menjadi 0.10/0.11 untuk mode ddos atau aggressive .

Potensi dos/ddos untuk peringatan sshd Saya pikir ini mendesak

Yah, DDOS berpotensi memungkinkan untuk layanan apa pun (sshd bukan pengecualian di sini), dan juga dapat dipecahkan secara efektif menggunakan alat lain, misalnya aturan khusus seperti membatasi laju koneksi (permintaan total per IP/subnet per menit, upaya SYN pada sshd atau semua port), melarang pemindaian port, dll.

Tujuan utama Fail2ban adalah masalah otentikasi, oleh karena itu tertutup dalam mode yang disebutkan saja, jadi ini sekarang cukup sebagai konfigurasi untuk mengaktifkannya (jika filter/fail2ban ditingkatkan ke 0.10.5):

[sshd]
mode = aggressive
enabled = true

Untuk fail2ban \<= 0.10.5 (tetapi >= 0.10):

[sshd]
mode = aggressive
failregex = %(known/failregex)s
            ^Bad protocol version identification '.*' from <HOST>
enabled = true

Untuk 0.9 dan di bawah lihat komentar saya di atas.