查看sshd日志,有一台远程计算机似乎正在攻击我的服务器。这是一个条目的示例。它始终是同一个IP。
5 月 8 日 17:57:32 [已删除] sshd[99267]:无法与 37.49.226.19 端口 42302 协商:找不到匹配的密钥交换方法。他们的报价:diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1 [preauth]
我已经安装了fail2ban,但是好像并没有屏蔽这个IP。
我该如何解决这个问题?
答案1
通常fail2ban不会对此类攻击起作用,要使fail2ban对这些攻击起作用,您需要在/etc/fail2ban/jail.local中将您的监狱的模式设置为aggressive
像这样:
[sshd]
# To use more aggressive sshd modes set filter parameter "mode" in jail.local:
# normal (default), ddos, extra or aggressive (combines all).
# See "tests/files/logs/sshd" or "filter.d/sshd.conf" for usage example and details.
enabled = true
mode = aggressive
port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s
为了获得更多保护,您可以使用累犯监狱来禁止持续的攻击者,如下所示:
[recidive]
enabled = true
logpath = /var/log/fail2ban.log
banaction = %(banaction_allports)s
bantime = 1y
findtime = 1d
maxretry = 2
参考: