probleme avec fail2ban
Etienne
etienne at gnulinux.fr
Mer 9 Sep 18:30:17 UTC 2009
bonjour,
je viens de passer d'une connexion SSH par mot de passe à une
connexion par clef publique/privé
Parallèlement fail2ban jusqu'à présent surveillait mes logs et
bannissait les IP après 6 echecs
Surprise, je viens de voir 11 tentatives avec la même IP et je ne comprends pas.
Sep 9 19:48:47 sd-12345 sshd[13558]: Did not receive identification
string from 217.150.123.186
Sep 9 19:54:18 sd-12345 sshd[13559]: Invalid user globus from 217.150.123.186
Sep 9 19:54:18 sd-12345 sshd[13561]: Invalid user condor from 217.150.123.186
Sep 9 19:54:18 sd-12345 sshd[13563]: Invalid user tomcat from 217.150.123.186
Sep 9 19:54:18 sd-12345 sshd[13565]: Invalid user global from 217.150.123.186
Sep 9 19:54:19 sd-12345 sshd[13567]: Invalid user upload from 217.150.123.186
Sep 9 19:54:19 sd-12345 sshd[13569]: Invalid user jboss from 217.150.123.186
Sep 9 19:54:19 sd-12345 sshd[13571]: Invalid user postmaster from
217.150.123.186
Sep 9 19:54:19 sd-12345 sshd[13573]: Invalid user demo from 217.150.123.186
Sep 9 19:54:19 sd-12345 sshd[13575]: Invalid user apache from 217.150.123.186
Sep 9 19:54:20 sd-12345 sshd[13577]: Invalid user postgres from 217.150.123.186
Sep 9 19:54:20 sd-12345 sshd[13581]: Invalid user tester from 217.150.123.186
extrait de /etc/fail2ban/jail.conf
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
il me semble que le changement de comportement de fail2ban est du au
passage à l'authentification ssh par clef ?
qu'en pensez vous ? que faire ? suis je protégé ?
merci
Plus d'informations sur la liste de diffusion ubuntu-fr