Интернетное

[vitus_wagner]

Замучали нехорошие боты брутфорсить мой ssh. Все равно же PasswordAuthentication no. Но долбятся с такой силой что уже мне зайти мешают, MaxStartup переполненный. Поставить что ли fail2ban? Или в эпоху ботнетов в этом нет никакого смысла? Я вот смотрю в логи и вижу что число коннектов с одного IP двухзначное. Ну то есть больше 80 неудачных коннектов ни с одного IP с момента ротации лога нет. А адресов 261. Это мне fail2ban dos-атаку на iptables не устроит?

Или повесить два разных экземпляра sshd на внешний интерфейс и vpn-овский?

Comments

[evgenykuznetsov.org]

Меня fail2ban на всех серверах пока вполне спасает.

[elglin]

Можно вынести слушающий порт с привычного 22 сильно вверх, в эфемеры даже можно. Но тут могут быть проблемы с файрами по дороге.

[vitus_wagner]

Можно. Но переезд на нетандартный порт или Port knocking - это какие-то слишком суровые меры. Есть надежда что пока удастся обойтись меньшей кровью.

[fhunter]

Можно сделать два jail-а, один - для текущих, "короткий", второй - для рецидивистов - длинный. Длинный у меня блочит вообще весь трафик с данного ip на сутки вроде.
Проблем с fail2ban не было ни разу.
Но сейчас повадились сканировать с подсеток, так что эффективность несколько упала.

[vitus_wagner]

Вот собствено и вопрос в том, что сейчас повадились сконировать с ботнетов и количество коннетктов с одного IP невелико.

[llivejo]

а в чем проблема не цепочку iptables добавлять, а IP в ipset?

[vitus_wagner]

В основном в том, что 30 лет пользуясь Linux я в первый раз узнал о существовании ip sets из вашего комментария. Собственно ради получения подобных куосчков информации пост и написан.

[llivejo]

если честно, за мои 26 лет работы с Linux я тоже нечасто ip sets использовал, последний раз наверное лет 10 назад

[fhunter]

Не вот эти ли подсети, случаем, долбят?

185.224.228.0/22
195.209.120.0/22
212.192.156.0/22

[vitus_wagner]

Конкретно этих как раз нет. Есть очень похожие. в большом количестве.