Попытка брутфорса SSH

[avi9526]

В лог-файле «/var/log/auth.log» проскочило много сообщений вида

Код: [Выделить]

Dec  2 15:43:29 avi9526-PC sshd[5074]: Received disconnect from 184.106.220.5: 11: Bye Bye [preauth]
Dec  2 15:43:30 avi9526-PC sshd[5076]: Received disconnect from 184.106.220.5: 11: Bye Bye [preauth]
Dec  2 15:43:35 avi9526-PC sshd[5078]: Received disconnect from 184.106.220.5: 11: Bye Bye [preauth]
Dec  2 15:43:43 avi9526-PC sshd[5081]: Received disconnect from 184.106.220.5: 11: Bye Bye [preauth]
Dec  2 15:43:51 avi9526-PC sshd[5083]: Received disconnect from 184.106.220.5: 11: Bye Bye [preauth]На ЭВМ запущен «fail2ban», но он такое игнорирует. В настройках «SSH» разрешена авторизация только по ключу.

1) Что хотели сделать?
2) Решил изменить настройки «fail2ban», что бы он реагировал на такое — дописал в «/etc/fail2ban/filter.d/sshd.conf» строчку

failregex = …
  …
            ^%(__prefix_line)sReceived disconnect from <HOST>.* \[preauth\]\s*$
  …

с таким регулярным выражением проблемы могут быть? Может по другому написать?

[shame]

Подпишусь. Тема меня заинтересовала

[Kernel ops]

подпишусь

[Karl500]

1. Хотели провести брутфорс, но т.к. у Вас вход по паролю запрещен, ничего не вышло.
2. Для проверки на срабатывание правил fail2ban есть fail2ban-regex. "Напускаете" регэксп на лог - и видите, сработало ли правило.

[avi9526]

Спасибо!

Проверил новое правило командой

Код: [Выделить]

fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.confТот IP теперь отхватит банан.

Правда, несколько других IP попадают теперь два раза за одну попытку — я так понял, что будут забанены быстрее, но это уже не существенно для меня…

Решено.

[MMmm]

В лог-файле «/var/log/auth.log» проскочило много сообщений вида

Код: [Выделить]

Dec  2 15:43:29 avi9526-PC sshd[5074]: Received disconnect from 184.106.220.5: 11: Bye Bye [preauth]
Dec  2 15:43:30 avi9526-PC sshd[5076]: Received disconnect from 184.106.220.5: 11: Bye Bye [preauth]
Dec  2 15:43:35 avi9526-PC sshd[5078]: Received disconnect from 184.106.220.5: 11: Bye Bye [preauth]
Dec  2 15:43:43 avi9526-PC sshd[5081]: Received disconnect from 184.106.220.5: 11: Bye Bye [preauth]
Dec  2 15:43:51 avi9526-PC sshd[5083]: Received disconnect from 184.106.220.5: 11: Bye Bye [preauth]На ЭВМ запущен «fail2ban», но он такое игнорирует. В настройках «SSH» разрешена авторизация только по ключу.

1) Что хотели сделать?
2) Решил изменить настройки «fail2ban», что бы он реагировал на такое — дописал в «/etc/fail2ban/filter.d/sshd.conf» строчку

failregex = …
  …
            ^%(__prefix_line)sReceived disconnect from <HOST>.* \[preauth\]\s*$
  …

с таким регулярным выражением проблемы могут быть? Может по другому написать?

А у меня после этого в логах это:

fail2ban.jail   : INFO   Jail 'ssh' started
fail2ban.actions.action: ERROR  iptables -D INPUT -p tcp -m multiport --dports ssh -j fail2ban-ssh
iptables -F fail2ban-ssh

я убрал строку ^%(__prefix_line)sReceived disconnect from <HOST>.* \[preauth\]\s*$

и всё в порядке. Правда у меня Ubuntu 10.04.4, а у вас что?

[avi9526]

Да у меня все нормально, банит таких без ошибок, «Ubuntu» 12.10
Может дело не в регулярном выражении. Без этой строчки кого-то банило? Без ошибок?

[MMmm]

Да, всё работает. Это моя ошибка, я не правильно проверял защиту fail2ban.

[VinnyPooh]

" В настройках «SSH» разрешена авторизация только по ключу."

ну и чего вы тогда беспокоитесь?

Порт смените еще на нестандартный и если уж до конца идти - через файервол разрешите доступ на комп только с определенных IP и будет вам счастье

[shame]

Можно port knocking еще настроить для пущей паранои