fail2ban

Как мне от него избавится.

Забить и открыть для себя знак вопроса и https://tsya.ru/

Они так и будут долбить, покуда ты ssh за vpn не спрячешь. Даже fail2ban для этих ботов не особая помеха, т.к. они умеют подстраиваться.

Если это не создает какой-то серьезной нагрузки на сервер и у тебя авторизация по ключам с нормальным паролем, то смысл тратить ресурсы на fail2ban или другие блокировщики особо нет. Просто не обращай внимания.

ИМХО, конечно же.

Как вариант - закрыть порт ssh для всех и открыть для белого списка айпишников.

Я перенёс ssh на другой порт. Стало тихо. (Это не отменяет, конечно же, нормальных паролей/ключей.)

Его скорее всего перебором найдут :)

ограничить диапазон разрешенных айпи адресов https://www.jura12.ru/node/16

Перевесь SSH на другой порт, а на порт 22 повесь endlessh.

Так это же разные боты атакуют наугад, а не какая-то целевая атака. Пока в auth.log более не замечал левых попыток. Ну и при сканировании 65 тысячи портов на одном хосте таких ботов может и провайдер забанить. Да и fail2ban никто не отменял, хотя не понятно, зачем же такой системный демон написали на питоне.

А ещё можно самому ловить этих ботов в капкан с помощью endlessh. Интересно, ввели ли они какой-то таймаут против endlessh. UPD: вот, выше уже опередили.

port knocking решает эту проблему.

+ отключение доступа по паролю.

Это всё городские легенды

то смысл тратить ресурсы на fail2ban или другие блокировщики особо нет.

Есть. Потому как уже в десяток потоков оно больше iptables recent жрать будет. Уж не знаю, экономичнее fail2ban, или нет, но тормозить их всё равно надо чем-то, либо ssh закрывать.

Кстати, а кто-нибудь передавал данные в abuse провайдера той атакующей машины (когда пров очевиден и досягаем, конечно) ? Стоит заморачиваться?

Мне-то доводилось несколько недвусмысленных намёков от хостеров отрабатывать, по поводу атак ( правда, давно и в основном это были чьи-то стоковые виртуалки со стандартными паролями).

Интересно, ввели ли они какой-то таймаут против endlessh.

Походу ввели. Я понаблюдал. 20-30 сек примерно у 90 проц ботов. Но эти боты все равно конектятся повторно тучей с одного IP много много раз. Так что все нормально.

Передавал, реакции не последовало. 3 из 8 указанных в поле abuse email не работали, от остальных ответа не было. Куда смотрит ICANN - вообще хз.

всем насрать. Толку передавать, что в спортлото писать.

Если авторизация по ключу, то забить.

Присоединяюсь, + ключ с парольной фразой. Ко мне много лет долбились, ничего не выдолбили. Если напрягают записи в логах, перевесь ssh на нестандортный порт, 42222 допустим, помогает.

Плюс endlessh и fail2ban с такими параметрами:

[sshd]
enabled     = true
filter      = sshd
action      = route
logpath     = /var/log/auth.log
maxretry    = 2
findtime  = 1800
bantime  = -1
#bantime  = 43200

[sshd-ddos]
enabled     = true
filter      = sshd-ddos
action      = route
logpath     = /var/log/auth.log
maxretry    = 1
findtime  = 43200
bantime  = -1

ssh на нестандартный порт и отключить вход по паролю,сертификаты сделать - 5 минут

ssh на нестандартный порт и отключить вход по паролю,сертификаты сделать - 5 мину

К нему еще прикол файвола

iptables -A INPUT  -p tcp -m multiport --dport 21,22 -j REJECT

Если это не создает какой-то серьезной нагрузки на сервер…

Плюсую. При этом в nftables это вообще делается без сторонних демонов.

https://wiki.nftables.org/wiki-nftables/index.php/Port_knocking_example

Настрой разок и сиди расчесывай мягкие шелковистые волосы. Там порт открывается для конкретного ip на определенное время.

У меня так убран openvpn и ssh, чтобы не отсвечивать в инторнеты вхолостую

Хозяйке на заметку: fail2ban может вообще автоматизировать рассылку abuse-писем.

Как минимум, пускать только со своих ip, все остальные банить. Лет 10 назад для этого использовался tcpd, но его поддержку с ssh выпилили, теперь фильтровать надо сетевым экраном.

Лучше, все административные приложения запускать только на административном интерфейсе с выходом в изолированную административную сеть. В локалке это отдельный VLAN. В Интернете необходимо отдельно создать шифрованный VPN, если этот VPN упадет, доступа по ssh чтобы его починить не будет, его можно поднять только по IPKVM, по этому с административными шифрованными VPN надо работать аккуратно.

сменить порт, к сожалению, уже совсем не эффективно,
в течении пары дней находят и начинают долбить снова, просканировать весь IPv4 диапазон адресов сейчас стало достаточно простой задачей,
поэтому либо белый список, либо knockd (или и то и то)

[sshd]
mode = aggressive
maxretry = 2
enabled = true
bantime.increment = true

Так лучше - инкрементный бан сила !

Тоже порекомендую fail2ban

у себя поставил настройку, 3 - раза ошибка - бан этого IP на сутки.

нагрузка системы минимальна, P4+2Гб ОЗУ даже не замечают её.

[root@xxx fail2ban]# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed: 1
|  |- Total failed:     39571
|  `- File list:        /var/log/secure
`- Actions
   |- Currently banned: 366
   |- Total banned:     13671
   `- Banned IP list:   112.85.42.120...

Это правильный ответ!

knockd, fail2ban и прочие только расширяют вектор атаки. Зачем использовать дополнительные костыли когда задача решается стандартными средствами маршрутизации и сетевого экрана?

сменить порт, к сожалению, уже совсем не эффективно, в течении пары дней находят и начинают долбить снова,

Может вас целенаправленно сканируют? Не тупые боты, а конкуренты или тп. У меня тишина полнейшая! Хотя я много лет не парился вообще. Я даже не перевешивал SSH, а просто прикрыл 22 порт наглухо снаружи, те SSH в локалке и по VPN как работал так и работает на 22 порту, а снаружи сделал проброс с 42222 на целевой 22, те же яйца, вид сбоку.

просканировать весь IPv4 диапазон адресов сейчас стало достаточно простой задачей

Я что то не понял, а причем диапазон Ipv4 адресов? Вы хотели сказать диапазон портов 1-65535? боты наверно так не работают чтоб весь диапазон Ipv4 адресов да по всем портам 1-65535.

Мне хватает просто ssh на другой порт перевесить, а все ненужные порты закрыть файером. Полёт стабильный, дятлов не наблюдается.

в течении пары дней находят и начинают долбить снова, просканировать весь IPv4 диапазон адресов сейчас стало достаточно простой задачей,

Сменил порт ЕЩЕ раз. И впользуй примерами выше. Боты используют данные сканеров раз в 3 месяца. Сам наблюдал.нащупали. Был порт 11111

сканеры нащупали. Пошли атаки. Свалил на 11112. Тишина. Нащупали через полгода Свалил обратно на 11111 А там тишина...

У меня тишина полнейшая!

Скорее всего, цели для атаки выбираются по каким-либо дополнительным условиям. Например, открытый 80 порт, или какие-нибудь ещё стандартные сервисы.

цели для атаки выбираются по каким-либо дополнительным условиям.

Почтовик неплохая цель.

смени порт на нестандартный

? И

Че не сешь

. и успокойся. остальные меры принимать по мере необходимости

Скорее всего, цели для атаки выбираются по каким-либо дополнительным условиям. Например, открытый 80 порт, или какие-нибудь ещё стандартные сервисы.

Вполне допускаю, что я не интересен им.

Почтовик неплохая цель.

А почтовик как раз есть у меня.

Уже было, посмотри тут

везло

свезло

Хорош мкея падкалупываит http://www.postfix.ru

почтовик как раз есть у меня.

Коллега рад за Вас

Хорош мкея падкалупываит http://www.postfix.ru

И в мыслях не було! Не бывал на этом сайте.

Коллега рад за Вас

Я вот тут по моему Вы меня подколупываете, чему тут радоваться…. 😥

Каким образом подстраиваться? Три попытки - и в аут на час. Не особо подстроишься-же.

Инфа о том, что адрес заблокировался идет в ботнет, о том, что разбанился - тоже. Таким образом ботнет накапливает статистику, и подстраивает попытки таким образом, чтобы не попадать в бан.