Attualmente blocco tutti gli accessi ssh usando root. Ma volevo fare il possibile e bloccare l'indirizzo IP del client che ha tentato di accedere come root. Al momento ho denyhosts e fail2ban configurati e funzionanti, posso usare denyhosts o fail2ban per bloccare gli indirizzi IP di coloro che provano ad accedere come root?
Risposte:
A seconda della tua distribuzione, modifica /etc/fail2ban/jail.conf
Aggiorna la [ssh]sezione per mostrare qualcosa del genere
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
bantime = 3600
maxretry = 3
Modificare i parametri come richiesto. Non bloccherà specificamente root, ma ogni tentativo fallito. Fare attenzione con maxretrye il bantime. Se fallisci con la tua password, mentre maxtretryimpostato su basso, ti blocchi per il bantime. Riavvia fail2ban.
Non proverei a bloccare l'IP per sempre poiché molti tentativi provengono da IP dinamici che potrebbero bloccare alcuni utenti legittimi in un secondo momento.
(Alcune distribuzioni offrono un file jail.options per le tue modifiche. Questo è il posto preferito dove mettere le tue modifiche in quanto non dovrebbe essere influenzato dagli aggiornamenti che sovrascrivono la conf.)
Copia questo codice in un nuovo file /etc/fail2ban/filter.d/sshd-root.conf:
[INCLUDES]
# Read common prefixes. If any customizations available -- read them from
# common.local
before = common.conf
[Definition]
_daemon = sshd
failregex = ^%(__prefix_line)sFailed (?:password|publickey) for root from <HOST>(?: port \d*)?(?: ssh\d*)?$
ignoreregex =
ATTENZIONE: potrebbe essere necessario modificare il failregex per identificare accuratamente i tentativi di accesso root non riusciti - utilizzare:
fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd-root.conf
per verificare che identifichi le voci di registro corrette.
Quindi è necessario modificare jail.local per utilizzare il nuovo filtro - aggiungere qualcosa come:
[ssh]
enabled = true
port = 1:65535
filter = sshd-root
logpath = /var/log/auth.log
bantime = 604800
maxretry = 3
Ovviamente dovresti adattare questi valori in base alle tue esigenze. Le impostazioni precedenti elimineranno tutti i pacchetti in arrivo dall'indirizzo IP offensivo dopo tre tentativi di accesso come root e rilasceranno nuovamente l'IP dopo una settimana.
Poiché l'impostazione predefinita /etc/fail2ban/filter.d/sshd.confha già una regex per AllowUsers e DenyUsers ...
...
^%(__prefix_line)sUser .+ from <HOST> not allowed because not listed in AllowUsers\s*$
^%(__prefix_line)sUser .+ from <HOST> not allowed because listed in DenyUsers\s*$
...
Quanto segue:
exampleusernameIP esternirootqualsiasi connessione sulla rete locale (192.168.0. *)La riga `/ etc / ssh / sshd_config ':
AllowUsers exampleusername *@192.168.0.* *@localhost *@127.0.0.1
E in /etc/fail2ban/jail.conf:
ignoreip = 127.0.0.1/8 192.168.0.2/255
...
...
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 1
findtime = 99999999
bantime = 99999999
Come hai bloccato gli accessi ssh? / bin / false o l'opzione DenyUsers sshd_config?
Non riesco a pensare a una risposta fuori dalla mia testa, ma IIRC denyhosts analizza il file di registro, quindi vedi solo se ricevi una voce non riuscita nel file di registro dopo che qualcuno ha provato ad accedere alla radice con disabilitato
/etc/ssh/sshd_confige sono passato PermitRootLoginda sì a no. Non so se questo è rilevante, ma ho installato rssh per consentire solo a determinati utenti di accedere usando sftp ma non consentire ssh.