Бесконечная игра в кошки мышки fail2ban'a

[papakota]

Здравствуйте!

Собственно, может это и не проблема особо, но тем не менее... У меня стоит Postfix на компьютере. Почти уже год назад, я установил себе fail2ban после множества неудачных попыток ботов залогиниться. В принципе, fail2ban работает. Но как то странно (в моем понимании). Он сначала банит IP, потом через неско часов разбанивает. Через пол-часа опять банит тот же IP и т.д. и т.д. и т.д.
Некоторые боты пытаются залогиниться каждые 20 минут, чтобы избежать бана.

Load average сервера, вроде бы, отличный. В районе 0,20

Мой вопрос состоит в том... Насколько всё это нормально или мне нужно что-то с этим обязательно делать? Или же попытки бота залогиниться каждые 20 минут для сервака настолько непринципиальны, что мне лучше это просто игнорировать?

 

[www777]

papakota, А ты хочешь, что бы бан был вечным?

[papakota]

Нет, но и не пару часов...

Я мог бы установить findtime на уровне двух часов, так чтобы четвертая попытка была бы где-то в течении полутора часов и бан бы заработал. Но не знаю, умно ли ставить большой параметр для findtime?

[Дмитрий Бо]

papakota, если пароль нормальный, то сойдёт и так. Перебирая по одному паролю в 20 минут, бот может подобрать только совсем уж словарный пароль типа "admin" или "123456". Любой несловарный пароль длиннее пяти символов он будет подбирать до смерти человечества.
Я обычно баню на сутки, но это дело вкуса.

[EvangelionDeath]

papakota, в fail2ban есть кроме интервала бана и интервал на котором отлеживаются неудачные попытки логина. я поставил интервал на попытки логина 1 час и уменьшил их количество до 3х.

[eNdiD]

Множество попыток ботов залогиниться отбивается запретом логина от рута. Я у себя поставил длинный пароль для обычного юзера, под которым логинюсь. Чтобы не вводить каждый раз - сделал сертификат для себя.

А в fail2ban поставил 3 попытки входа на день с баном на неделю. Пусть брутят на здоровье. Делается это просто. В /etc/fail2ban создать конфиг jail.local, в котором прописать:

Код: [Выделить]

[ssh]
findtime        = время на попытки в секундах
maxretry        = количество попыток
bantime         = время бана в секундах
Но это уже избыточно. Я лично уверен, что 3 попытки входа мне хватит в крайнем случае.

[papakota]

papakota, если пароль нормальный, то сойдёт и так. Перебирая по одному паролю в 20 минут, бот может подобрать только совсем уж словарный пароль типа "admin" или "123456". Любой несловарный пароль длиннее пяти символов он будет подбирать до смерти человечества.
Я обычно баню на сутки, но это дело вкуса.

Меня не взлом сервера беспокоит, а лишняя нагрузка и грязные логи. Чисто психологически это неприятно. Зачем это надо?
Пользователь добавил сообщение 11 Октября 2016, 20:46:17:

papakota, в fail2ban есть кроме интервала бана и интервал на котором отлеживаются неудачные попытки логина. я поставил интервал на попытки логина 1 час и уменьшил их количество до 3х.

Я поставил так в файле /etc/fail2ban/jail.local

maxRetry = 2
findtime = 5400
banTime = 86400

Я так понимаю, что теперь те боты, что пытаются раз в 20 минут тоже будут забанены на каком то этапе. А те, что часто пытаются, будут баниться, как и раньше, когда findtime был 600, а maxRetry был 3. Так?