因此,我在三台 Ubuntu VPS 服务器上安装(并配置)fail2ban。我配置 (imo) 在 2 分钟内最多 3 次失败的登录尝试(通过 Putty 作为 root)。然后我重新启动了fail2ban服务(根据本手册)。
但当我查看我的auth.log
文件时,/var/log/
我仍然看到来自某些 IP 的 4、5 或更多失败尝试。很明显我做错了什么,因为 3 次失败的尝试后 IP 没有被阻止。
它可能必须与 做一些事情iptables
,但这对我来说有点“模糊”。
不知道如何设置max-three-failed-login-attempts
规则..
额外的:我发现每次登录尝试的端口大多不同。这会影响计数吗max-three
?
因为我看到一个端口被“戳”两次,然后就不再尝试了。然后 IP 尝试不同的端口(再次 2 次)。 (当然所有机器人)
答案1
fail2ban
用于iptables
阻止(假设您使用iptables-multiport
f2b 中的默认“操作”)。iptables
只是 Linux 的一部分,因此您不需要安装。
在 Ubuntu 默认情况下,如果你查看/etc/fail2ban/jail.conf
,你应该会看到类似这样的内容:
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
因此,在我们进一步讨论之前,阻止之前的默认尝试失败次数是 6 次,而不是 3 次。如果您愿意,可以在此处降低此值。这似乎可以回答你的问题。
但除此之外,请检查/etc/services
您的 SSH 服务器是否有正确的端口。我思考这是 f2b 查找端口号的地方(当您为监狱指定端口时 - 如上所述)。如果您在不同端口上运行多个 SSH 服务器或为 SSH 打开多个端口,则可能需要调整 f2b 使用的内容,或完全删除限制。