Dec 12 13:15:35 gw1 sshd[19967]: Received disconnect from 66.234.240.251: 11: Bye Bye

Распухание логов роутера заставило меня обратить более пристальное внимание на записи в журналах безопасности sshd.

Dec 12 13:15:35 gw1 sshd[19967]: Received disconnect from 66.234.240.251: 11: Bye Bye

Эта запись появляется по одной причине: у меня запрещён вход на ssh по паролю. Разрешён только по сертификату. Бот который подбирает пароль к ssh к сожалению “тупой” и непрерывно долбится пока у него не закончится словарь. Когда ботов становится много и они настырны, то это и приводит к распуханию логов.
Continue reading Dec 12 13:15:35 gw1 sshd[19967]: Received disconnect from 66.234.240.251: 11: Bye Bye

Установка fail2ban в Centos 6

fail2banНа свеже установленном минималистическом Centos yum не находит пакета fail2ban. Его можно поставить из исходников, но проще и удобнее поставить из репозитория. Необходимо только подключить его.

Заходите по ссылке http://pkgs.repoforge.org/rpmforge-release/ и выбирайте последнюю версию, я выбирал 32-х битную версии 0.5.2-2.

# yum install http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.2-2.el6.rf.i686.rpm

И потом ставим fail2ban:

# yum install fail2ban

Конфиг по умолчанию настроен. Но проверим некоторые важные опции:

vi /etc/fail2ban/jail.conf
 ignoreip = 127.0.0.1/8  Здесь могут быть IP адреса и CIDR маска или DNS хост. Fail2ban не будет банить перечисленные адреса. Несколько адресов нужно разделить пробелами

 bantime = 600  время бана в секундах (600 сек = 10 минут)

 findtime = 600  хост будет забанен если исчерпает отведёные ему попытки за последние findtime секунд.

 maxretry = 3  максимальное количество неверных попыток до бана.

Включаем автозапуск:

# chkconfig fail2ban on

Запускаем:

# service fail2ban restart

Если до этого он не был запущен при остановке будет ошибка, это не важно. Главное чтобы запустился.

Всё.


Для Centos 6 можно также подключить этот репозиторий:
для 32 бит

# rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm

для 64 бит

# rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm