로그를 보면 sshd내 서버를 공격하는 것으로 보이는 원격 컴퓨터가 있습니다. 입력 예시입니다. 항상 같은 IP입니다.
5월 8일 17:57:32 [삭제됨] sshd[99267]: 37.49.226.19 포트 42302와 협상할 수 없습니다: 일치하는 키 교환 방법을 찾을 수 없습니다. 해당 인용문: diffie-hellman-group14-sha1, diffie-hellman-group-exchange-sha1, diffie-hellman-group1-sha1 [preauth]
설치했는데 fail2banIP가 차단되지 않은 것 같습니다.
이 문제를 어떻게 해결할 수 있나요?
답변1
일반적으로 fall2ban은 이러한 공격에 대해 작동하지 않습니다. 이러한 공격에 대해 fall2ban이 작동하도록 하려면 /etc/fail2ban/jail.local에서 감옥 모드를 공격적으로 설정해야 합니다.
이와 같이:
[sshd]
# To use more aggressive sshd modes set filter parameter "mode" in jail.local:
# normal (default), ddos, extra or aggressive (combines all).
# See "tests/files/logs/sshd" or "filter.d/sshd.conf" for usage example and details.
enabled = true
mode = aggressive
port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s
더욱 강력한 보호를 위해 다음과 같이 재범 감옥을 사용하여 지속적인 공격자를 금지할 수 있습니다.
[recidive]
enabled = true
logpath = /var/log/fail2ban.log
banaction = %(banaction_allports)s
bantime = 1y
findtime = 1d
maxretry = 2
인용하다: