我目前正在使用 EC2 实例、Linux AMI,并且已将默认 SSH 端口 22 移至更高的 TCP 端口(假设为 1234),目前我能够在通过终端连接到 SSH 时使用 -p 1234 参数轻松登录。
我已经在 AMI 实例上安装Fail2Ban,并且创建了一个名为的文件jail.local,现在我看到这样的内容
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
maxretry = 6
现在,我认为这里有一个port = ssh,现在这个端口 = ssh 可能指向默认的 22 端口,但我已经更改为 1234,所以我的配置应该包括port = ssh, 1234或port = 1234或除此之外的任何其他内容吗?
还有一个问题是 Amazon EC2 AMI 实例当前没有 /var/log/auth.log,当我使用sudo tail -f /var/log/auth.log它时它会给出No such File or Directory但/var/log/secure存在并为我提供日志输出。
那么我也需要改变logpath吗?希望得到帮助
答案1
我相信你走在正确的道路上。只有一种方法可以找到答案……做出改变并进行测试 :)
fail2ban 通过指定日志监控失败的登录。因此,如果您在 /var/log/secure 中看到它们,那么我猜应该指向那里。
[ssh]
enabled = true
port = 1234
filter = sshd
logpath = /var/log/secure
maxretry = 6
maxretry = 6
此外,如果您想监控多个特定端口,请参阅下面的示例:
[ssh]
enabled = true
port = 1234,sftp,ssh
filter = sshd
logpath = /var/log/secure
maxretry = 6
maxretry = 6