我使用passwd -l rootlocking了我的服务器上的root帐户,因此在/var/log/auth.log尝试login会导致以下结果:
User root not allowed because account is locked
Fail2Ban不会select这些,所以这些尝试会持续很长时间。 如何调整Fail2Ban来识别这些?
完整留言示例:
Apr 10 13:32:28 server sshd[pid]: User root not allowed because account is locked
所以你试图阻止所有试图以root身份login的IP? 我会想象大多数非目标黑客攻击尝试将首先尝试以root身份login,然后尝试足够不存在的帐户来取消IP。
如果不是这种情况,也许你应该改变你的方法。
我认为一个比lockingroot更好的select是通过sshd的configuration禁用外部login。 这可能导致尝试以root身份login,触发fail2ban可以使用的安全消息。
Fail2ban将无法处理所提供的信息,因为没有<HOST>信息来阻止它。
<HOST>信息是攻击发生的IP地址或主机名称,fail2ban使用此信息更新防火墙configuration,没有任何信息。