![서버가 키 교환 시도로 인해 공격을 받았습니다. Fail2ban에 의해 금지 목록에 추가되지 않음](https://linux55.com/image/172827/%EC%84%9C%EB%B2%84%EA%B0%80%20%ED%82%A4%20%EA%B5%90%ED%99%98%20%EC%8B%9C%EB%8F%84%EB%A1%9C%20%EC%9D%B8%ED%95%B4%20%EA%B3%B5%EA%B2%A9%EC%9D%84%20%EB%B0%9B%EC%95%98%EC%8A%B5%EB%8B%88%EB%8B%A4.%20Fail2ban%EC%97%90%20%EC%9D%98%ED%95%B4%20%EA%B8%88%EC%A7%80%20%EB%AA%A9%EB%A1%9D%EC%97%90%20%EC%B6%94%EA%B0%80%EB%90%98%EC%A7%80%20%EC%95%8A%EC%9D%8C.png)
로그를 보면 sshd
내 서버를 공격하는 것으로 보이는 원격 컴퓨터가 있습니다. 입력 예시입니다. 항상 같은 IP입니다.
5월 8일 17:57:32 [삭제됨] sshd[99267]: 37.49.226.19 포트 42302와 협상할 수 없습니다: 일치하는 키 교환 방법을 찾을 수 없습니다. 해당 인용문: diffie-hellman-group14-sha1, diffie-hellman-group-exchange-sha1, diffie-hellman-group1-sha1 [preauth]
설치했는데 fail2ban
IP가 차단되지 않은 것 같습니다.
이 문제를 어떻게 해결할 수 있나요?
답변1
일반적으로 fall2ban은 이러한 공격에 대해 작동하지 않습니다. 이러한 공격에 대해 fall2ban이 작동하도록 하려면 /etc/fail2ban/jail.local에서 감옥 모드를 공격적으로 설정해야 합니다.
이와 같이:
[sshd]
# To use more aggressive sshd modes set filter parameter "mode" in jail.local:
# normal (default), ddos, extra or aggressive (combines all).
# See "tests/files/logs/sshd" or "filter.d/sshd.conf" for usage example and details.
enabled = true
mode = aggressive
port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s
더욱 강력한 보호를 위해 다음과 같이 재범 감옥을 사용하여 지속적인 공격자를 금지할 수 있습니다.
[recidive]
enabled = true
logpath = /var/log/fail2ban.log
banaction = %(banaction_allports)s
bantime = 1y
findtime = 1d
maxretry = 2
인용하다: