サーバーが鍵交換の試みによって攻撃を受けました。 Fail2banによって禁止リストに追加されない

サーバーが鍵交換の試みによって攻撃を受けました。 Fail2banによって禁止リストに追加されない

ログを見ると、sshd私のサーバーを攻撃しているように見えるリモートコンピュータがあります。入力例です。常に同じIPです。

5月8日 17:57:32 [削除済み] sshd[99267]: 37.49.226.19 ポート 42302 とネゴシエートできません: 一致する鍵交換方法が見つかりません。該当する引用符: diffie-hellman-group14-sha1, diffie-hellman-group-exchange-sha1, diffie-hellman-group1-sha1 [preauth]

インストールしましたが、fail2banIPがブロックされていないようです。

この問題をどのように解決できますか?

答え1

通常、fall2banはこれらの攻撃に対しては機能しません。これらの攻撃に対してfall2banが機能するようにするには、/etc/fail2ban/jail.localで刑務所モードを積極的に設定する必要があります。

このように:

[sshd]
 
# To use more aggressive sshd modes set filter parameter "mode" in jail.local:
# normal (default), ddos, extra or aggressive (combines all).
# See "tests/files/logs/sshd" or "filter.d/sshd.conf" for usage example and details.
 
enabled = true
mode   = aggressive
port    = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

より強力な保護のために、次のような刑務所刑務所を使用して継続的な攻撃者を禁止することができます。

[recidive]
 
enabled = true
logpath  = /var/log/fail2ban.log
banaction = %(banaction_allports)s
bantime  = 1y
findtime = 1d
maxretry = 2

引用:

https://github.com/fail2ban/fail2ban/pull/1209

https://wiki.archlinux.org/index.php/Fail2ban

関連情報