Ho provato a bloccarmi dal mio server per verificare se fail2ban funziona correttamente, quindi ho provato l'accesso a ssh e ho usato una password errata all'infinito. Ma sono stato bloccato solo dopo 13 accessi falliti invece del default 6 fallito.
Ho rimosso fail2ban con --purge e reintegrato, quindi dovrebbe esserci il
valori predefiniti in /etc/fail2ban/jail.conf ora. Ecco come appare sul mio server:
[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime = 600
maxretry = 3
...
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
Quindi, come ho capito, per ssh ci dovrebbe essere maxretry 6 ora. Perché potrei provare 12 volte senza essere bloccato?
Ho anche provato un attacco a forza bruta con THC-Hydra :
hydra -l john -P /tmp/pass.txt myserver.de ssh
e ho visto in /var/log/auth.log che hydra ha provato da 20 a 30 tentativi di fila senza essere bloccato.
guarda il mio log qui: link
qualche informazione in più:
ho disinstallato fail2ban e poi ho ricevuto alcuni messaggi in /var/log/auth.log durante il mio attacco hydra come
sshd[9286]: Failed password for john from 123.456.123.456 port 54705 ssh2
sshd[9286]: Failed password for john from 123.456.123.456 port 54698 ssh2
...
sshd[9280]: PAM service(sshd) ignoring max retries; 5 > 3
...
sshd[9286]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser=
...
sshd[9285]: PAM service(sshd) ignoring max retries; 6 > 3
forse ssh viene reindirizzato su un'altra porta ogni volta?
Questa volta non sono stato bloccato, quindi fail2ban funziona, se installato.