Comment bloquer toutes les tentatives de connexion root en utilisant denyhosts et ou fail2ban?

Je bloque actuellement toutes les connexions ssh en utilisant root. Mais je voulais aller plus loin et bloquer l'adresse IP du client qui a essayé de se connecter en tant que root. J'ai actuellement la configuration et le fonctionnement de denyhosts et fail2ban, puis-je utiliser denyhosts et ou fail2ban pour bloquer les adresses IP de ceux qui essaient de se connecter en tant que root?

Selon votre distribution, modifiez /etc/fail2ban/jail.conf Mettre à jour la [ssh]section pour afficher quelque chose comme ceci

[ssh]

enabled = true
port    = ssh
filter  = sshd
logpath  = /var/log/auth.log
bantime = 3600
maxretry = 3

Modifiez les paramètres selon vos besoins. Il ne bloquera pas spécifiquement root, mais chaque tentative qui échouera. Soyez prudent avec maxretryet bantime. Si vous échouez avec votre propre mot de passe, alors qu'il est maxtretryréglé sur bas, vous vous bloquez pour le bantime. Redémarrez fail2ban.

Je n'essaierais pas de bloquer l'IP pour toujours car de nombreuses tentatives proviennent d'IP dynamiques qui pourraient bloquer certains utilisateurs légitimes à un moment ultérieur.

(Certaines distributions offrent un fichier jail.options pour vos modifications. C'est l'endroit préféré pour mettre vos modifications car il ne devrait pas être affecté par les mises à jour écrasant la conf.)

Copiez ce code dans un nouveau fichier /etc/fail2ban/filter.d/sshd-root.conf:

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
before = common.conf

[Definition]

_daemon = sshd

failregex = ^%(__prefix_line)sFailed (?:password|publickey) for root from <HOST>(?: port \d*)?(?: ssh\d*)?$

ignoreregex = 

Sachez que vous devrez peut-être modifier le failregex pour identifier avec précision les tentatives de connexion root échouées - utilisez:

fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd-root.conf

pour tester qu'il identifie les entrées de journal correctes.

Ensuite, vous devez modifier votre jail.local pour utiliser le nouveau filtre - ajoutez quelque chose comme:

[ssh]

enabled  = true
port     = 1:65535
filter   = sshd-root
logpath  = /var/log/auth.log
bantime  = 604800
maxretry = 3

Évidemment, vous devez ajuster ces valeurs en fonction de vos besoins. Les paramètres ci-dessus supprimeront tous les paquets entrants de l'adresse IP incriminée après trois tentatives de connexion en tant que root, et relâcheront à nouveau l'adresse IP après une semaine.

Puisque la valeur par défaut a /etc/fail2ban/filter.d/sshd.confdéjà une expression régulière pour AllowUsers et DenyUsers ...

...
^%(__prefix_line)sUser .+ from <HOST> not allowed because not listed in AllowUsers\s*$
^%(__prefix_line)sUser .+ from <HOST> not allowed because listed in DenyUsers\s*$
...

Ce qui suit:

• Autoriser les connexions exampleusernamedepuis des IP externes
• Et rootou toutes les connexions sur le réseau local (192.168.0. *)

La ligne `/ etc / ssh / sshd_config ':

AllowUsers exampleusername *@192.168.0.* *@localhost *@127.0.0.1

Et dans /etc/fail2ban/jail.conf:

ignoreip = 127.0.0.1/8 192.168.0.2/255
...
...
[ssh]

enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 1
findtime = 99999999 
bantime  = 99999999

Comment avez-vous bloqué les connexions ssh? / bin / false ou l'option sshd_config DenyUsers?

Je ne peux pas penser à une réponse de ma tête, mais l'IIRC denyhosts analyse le fichier journal, alors voyez simplement si vous obtenez une entrée ayant échoué dans le fichier journal après que quelqu'un essaie de se connecter pour rooter avec désactivé