sam600
11.09.14, 08:35
hallo
ich habe fail2ban installiert und eingerichtet.
und funktioniert beim test wunderbar ( 3x passwort per ssh falsch eingeben - geblockt per hosts.deny )
leider reagiert fail2ban zu langsam:
d.h: in den logs kommen zig falsche login versuche, bis es fail2ban merkt;
Sep 10 21:34:08 xxx sshd[7132]: Failed password for root from 116.10.191.226 port 10025 ssh2
Sep 10 21:34:08 xxx sshd[7565]: Failed password for root from 116.10.191.226 port 12217 ssh2
Sep 10 21:34:10 xxx sshd[7132]: Failed password for root from 116.10.191.226 port 10025 ssh2
Sep 10 21:34:10 xxx sshd[7565]: Failed password for root from 116.10.191.226 port 12217 ssh2
Sep 10 21:34:12 xxx sshd[8915]: refused connect from 116.10.191.226 (116.10.191.226)
Sep 10 21:34:12 xxx sshd[7132]: Failed password for root from 116.10.191.226 port 10025 ssh2
Sep 10 21:34:12 xxx sshd[7565]: Failed password for root from 116.10.191.226 port 12217 ssh2
Sep 10 21:34:15 xxx sshd[7132]: Failed password for root from 116.10.191.226 port 10025 ssh2
Sep 10 21:34:15 xxx sshd[7565]: Failed password for root from 116.10.191.226 port 12217 ssh2
Sep 10 21:34:18 xxx sshd[7132]: Failed password for root from 116.10.191.226 port 10025 ssh2
Sep 10 21:34:18 xxx sshd[7565]: Failed password for root from 116.10.191.226 port 12217 ssh2
Sep 10 21:34:18 xxx sshd[7565]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.10.191.226 user=root
Sep 10 21:34:18 xxx sshd[8927]: refused connect from 116.10.191.226 (116.10.191.226)
Sep 10 21:34:20 xxx sshd[7132]: Failed password for root from 116.10.191.226 port 10025 ssh2
Sep 10 21:34:20 xxx sshd[7132]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.10.191.226 user=root
...
Frage:
wie kann ich fail2ban einstellen, damit der ssh filter schneller aktiviert wird?
bzw. wie kann ich den sshd dienst einstellen, das er pro falschen login XX sec pause macht, bevor der naechste login erlaubt ist.
danke
ich habe fail2ban installiert und eingerichtet.
und funktioniert beim test wunderbar ( 3x passwort per ssh falsch eingeben - geblockt per hosts.deny )
leider reagiert fail2ban zu langsam:
d.h: in den logs kommen zig falsche login versuche, bis es fail2ban merkt;
Sep 10 21:34:08 xxx sshd[7132]: Failed password for root from 116.10.191.226 port 10025 ssh2
Sep 10 21:34:08 xxx sshd[7565]: Failed password for root from 116.10.191.226 port 12217 ssh2
Sep 10 21:34:10 xxx sshd[7132]: Failed password for root from 116.10.191.226 port 10025 ssh2
Sep 10 21:34:10 xxx sshd[7565]: Failed password for root from 116.10.191.226 port 12217 ssh2
Sep 10 21:34:12 xxx sshd[8915]: refused connect from 116.10.191.226 (116.10.191.226)
Sep 10 21:34:12 xxx sshd[7132]: Failed password for root from 116.10.191.226 port 10025 ssh2
Sep 10 21:34:12 xxx sshd[7565]: Failed password for root from 116.10.191.226 port 12217 ssh2
Sep 10 21:34:15 xxx sshd[7132]: Failed password for root from 116.10.191.226 port 10025 ssh2
Sep 10 21:34:15 xxx sshd[7565]: Failed password for root from 116.10.191.226 port 12217 ssh2
Sep 10 21:34:18 xxx sshd[7132]: Failed password for root from 116.10.191.226 port 10025 ssh2
Sep 10 21:34:18 xxx sshd[7565]: Failed password for root from 116.10.191.226 port 12217 ssh2
Sep 10 21:34:18 xxx sshd[7565]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.10.191.226 user=root
Sep 10 21:34:18 xxx sshd[8927]: refused connect from 116.10.191.226 (116.10.191.226)
Sep 10 21:34:20 xxx sshd[7132]: Failed password for root from 116.10.191.226 port 10025 ssh2
Sep 10 21:34:20 xxx sshd[7132]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.10.191.226 user=root
...
Frage:
wie kann ich fail2ban einstellen, damit der ssh filter schneller aktiviert wird?
bzw. wie kann ich den sshd dienst einstellen, das er pro falschen login XX sec pause macht, bevor der naechste login erlaubt ist.
danke