Cisco Ne Slabo / SEDICOMM TVFail2ban очень полезный пакет, блокирующий злоумышленников в случае попыток перебора паролей и в некоторых других случаях. Действие основано на анализе логов приложений. Блокируются на определенный период IP адреса.
Установка:
sudo apt-get install fail2ban Настройка (для редактора mcedit): sudo mcedit /etc/fail2ban/jail.conf
В файле конфигурации в нужные секции добавляются строки «enabled = true», примерно так:
[ssh-iptables] enabled = true filter = sshd action = iptables[name=SSH, port=ssh, protocol=tcp] logpath = /var/log/secure maxretry = 3
После сервис надо перестартовать
sudo service fail2ban restart
Проверить можно так:
sudo fail2ban-client status
По конкретной секции можно собрать статистику, например, так:
sudo fail2ban-client status sshd
Решил попробовать просто из любопытства. Тестовая машинка, одноплатник оранж, нигде не рекламировалась, никаких особых задач нет, никакой особой нагрузки. Полигон. Статистика за первые 10 минут:
sudo fail2ban-client status sshd
Status for the jail: sshd
|- Filter
| |- Currently failed: 12
| |- Total failed: 3325
| `- File list: /var/log/auth.log
`- Actions
|- Currently banned: 10
|- Total banned: 415
`- Banned IP list: 150.136.160.141 221.131.165.124 190.111.105.10 119.45.160.126 59.3.93.107 103.99.244.70 210.212.29.215 1.226.12.132 221.131.165.86 170.106.35.43
Зачем они туда лезут? Что они там ищут? Походу прояснилось почему иногда машинка подвисала- китайские роботы ее затаптывали.
Оказалось, что интернет- среда крайне токсичная, установку этого пакета можно рекомендовать настоятельно.