• Linux какие-то поцы пытаются заломать мой ssh :(
    2015-04-26 21:47:49,098 fail2ban.actions: WARNING [ssh] Ban 72.167.40.142
    2015-04-26 21:47:49,103 fail2ban.actions: WARNING [ssh] Ban 93.125.8.129
    2015-04-26 21:47:49,108 fail2ban.actions: WARNING [ssh] Ban 222.186.134.99
    2015-04-26 21:47:49,112 fail2ban.actions: WARNING [ssh] Ban 115.85.194.82
    2015-04-26 21:47:49,116 fail2ban.actions: WARNING [ssh] Ban 43.255.190.146
    2015-04-26 21:47:49,122 fail2ban.actions: WARNING [ssh] Ban 43.255.190.142
    2015-04-26 21:47:49,126 fail2ban.actions: WARNING [ssh] Ban 58.218.199.195
    2015-04-26 21:47:49,130 fail2ban.actions: WARNING [ssh] Ban 210.110.180.185
    2015-04-26 21:47:49,134 fail2ban.actions: WARNING [ssh] Ban 43.255.190.115
  • Перенеси на нестандартный порт, да и всё.
  • @kapsh, перенес. Но, кмк, логин по ключу не позволил бы им сбрутить)
  • @Fang, Да, разумеется. Но ресурсы выжирать может ощутимо, китайцы проц на моей дешевой впске на 30-70% грузили.
  • @kapsh, ну тут уже fail2ban работает, он автоматом добавляет рулесы в iptables:
    DROP all — 43.255.190.115 anywhere
    DROP all — celix.kyungsung.ac.kr anywhere
    DROP all — 58.218.199.195 anywhere
    DROP all — 43.255.190.142 anywhere
    DROP all — 43.255.190.146 anywhere
    DROP all — 115.85.194.82 anywhere
    DROP all — 222.186.134.99 anywhere
    DROP all — leased-line-93-125-8-129.telecom.by anywhere
    DROP all — ip-72-167-40-142.ip.secureserver.net anywhere
    Кстати, насчет китайцев. У них там весеннее обострение походу ибо 43.255.190.* — китайская подсеть. Ну и белорус, видать, за компанию.
  • @Fang, Ну iptables тоже не шибко полезно перегружать такими правилами. Так что нестандартный порт как дополнение — это очень хорошая мысль. ;)
  • @stanis, Согласен насчет лишних правил, лично меня всегда смутно напрягает, что в важные конфиги пишется что-нибудь автоматически сгенерированное.
    А ещё, помнится, читал о том, что у fail2ban не слишком хороший алгоритм определения того, кого пора забанить, который обходится при определенных условиях.
  • @kapsh, там нет особого алгоритма. Он тупо читает логи(типа tail -f), находит ключевые фразы регекспом и инкрементирует счетчик:) Если в логах нет ip-шника, то никакого бана не произойдет.
  • @stanis, в общем, я питоном собрал статистику по логам и добавил в iptables бан подсети из которых 3-5 компов активно брутили. Это оказались китайцы:) Думаю доточить скрипт, что б это все автоматом происходило и будет норм замена fail2ban.