Traté de bloquearme desde mi propio servidor para probar si fail2ban funciona correctamente, así que intenté iniciar sesión en ssh y usé una contraseña incorrecta una y otra vez. Pero solo fui bloqueado después de que fallaran 13 inicios de sesión en lugar de los 6 predeterminados.
Eliminé fail2ban con --purge y lo volví a poner, así que debería haber
por defecto en /etc/fail2ban/jail.conf
ahora. Así es como se ve en mi servidor:
[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime = 600
maxretry = 3
...
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
Así que, según tengo entendido, para ssh debería haber maxretry 6 ahora. ¿Por qué podría intentar 12 veces sin ser bloqueado?
También probé un ataque de fuerza bruta con THC-Hydra :
hydra -l john -P /tmp/pass.txt myserver.de ssh
y vi en /var/log/auth.log
que hydra
intentó de 20 a 30 intentos seguidos sin ser bloqueado.
vea mi registro aquí: enlace
más información:
desinstalé fail2ban y luego recibí algunos mensajes en /var/log/auth.log
durante mi hydra
attack like
sshd[9286]: Failed password for john from 123.456.123.456 port 54705 ssh2
sshd[9286]: Failed password for john from 123.456.123.456 port 54698 ssh2
...
sshd[9280]: PAM service(sshd) ignoring max retries; 5 > 3
...
sshd[9286]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser=
...
sshd[9285]: PAM service(sshd) ignoring max retries; 6 > 3
¿quizás ssh sea redirigido a otro puerto cada vez?
No me bloquearon esta vez, así que fail2ban está funcionando, si está instalado.