服务器受到密钥交换尝试的攻击。没有被fail2ban添加到禁止列表中

服务器受到密钥交换尝试的攻击。没有被fail2ban添加到禁止列表中

查看sshd日志,有一台远程计算机似乎正在攻击我的服务器。这是一个条目的示例。它始终是同一个IP。

5 月 8 日 17:57:32 [已删除] sshd[99267]:无法与 37.49.226.19 端口 42302 协商:找不到匹配的密钥交换方法。他们的报价:diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1 [preauth]

我已经安装了fail2ban,但是好像并没有屏蔽这个IP。

我该如何解决这个问题?

答案1

通常fail2ban不会对此类攻击起作用,要使fail2ban对这些攻击起作用,您需要在/etc/fail2ban/jail.local中将您的监狱的模式设置为aggressive

像这样:

[sshd]
 
# To use more aggressive sshd modes set filter parameter "mode" in jail.local:
# normal (default), ddos, extra or aggressive (combines all).
# See "tests/files/logs/sshd" or "filter.d/sshd.conf" for usage example and details.
 
enabled = true
mode   = aggressive
port    = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

为了获得更多保护,您可以使用累犯监狱来禁止持续的攻击者,如下所示:

[recidive]
 
enabled = true
logpath  = /var/log/fail2ban.log
banaction = %(banaction_allports)s
bantime  = 1y
findtime = 1d
maxretry = 2

参考:

https://github.com/fail2ban/fail2ban/pull/1209

https://wiki.archlinux.org/index.php/Fail2ban

相关内容