我使用的是 ubuntu 22.04 TLS。
sshd_config:
Port 9401
SyslogFacility AUTH
LogLevel VERBOSE
MaxAuthTries 3
/etc/fail2ban/jail.local:
[ssh-9401]
enabled = true
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 60m
action = iptables-multiport[port=9401]
/var/log/auth.log: 空的
sudo tail -n 2 /var/log/fail2ban.log:
2023-09-01 05:35:10,038 fail2ban.actions [5552]: HEAVY Actions: check-unban 20, bancnt 0, max: 20
2023-09-01 05:35:10,038 fail2ban.actions [5552]: HEAVY Actions: wait for pending tickets 2 (default 2)
为什么尝试三次之后还不能阻止我的暴力攻击!
谢谢
答案1
/var/log/auth.log: 空的
如果为空,并且正在监控此日志,fail2ban 将如何找到故障?
你的 sshd 可能正在记录到 systemd 日志中?只需检查:
fail2ban-regex systemd-journal sshd
fail2ban-regex systemd-journal sshd[mode=aggressive]
在这种情况下,您必须添加backend = systemd到监狱(而不是logpath = ...或在其之后)。
基本上已经有了sshd监狱,你需要的一切jail.local将是这样的:
[sshd]
enabled = true
backend = systemd
port = 9401
(仅您需要覆盖的参数)。