我已经锁定了我的服务器上的 root 帐户,passwd -l root因此尝试登录会导致以下结果/var/log/auth.log:
User root not allowed because account is locked
Fail2Ban 不会发现这些,因此尝试会持续很长时间。我该如何调整 Fail2Ban 来识别这些?
完整消息示例:
Apr 10 13:32:28 server sshd[pid]: User root not allowed because account is locked
答案1
所以你是想阻止所有试图以 root 身份登录的 IP?我想大多数非针对性的黑客攻击都会首先尝试以 root 身份登录,然后尝试足够多的不存在的帐户以禁止 IP。
如果不是这种情况,也许你应该改变你的方法。
我认为比完全锁定 root 更好的选择是通过 sshd 的配置禁用以 root 身份进行外部登录。这可能会导致尝试以 root 身份登录触发 fail2ban 可以使用的安全消息。
答案2
Fail2ban 将无法处理提供的信息,因为没有可供其阻止的 <HOST> 信息。
<HOST> 信息是发生攻击的 IP 地址或主机名,fail2ban 使用此信息来更新防火墙配置,如果没有它就什么也做不了。