En fouinant dans mes logs par curiosité (parce que c’est encore à moitié du chinois pour moi), je me suis aperçu que mon serveur était l’objet de plusieurs milliers de tentatives de connections via sshd provenant de la même IP (chinoise aussi pour rester dans le thème ). La plupart des connections aboutissent au message suivant:
Unable to negotiate with 112.85.42.238 port 38670: no matching key exchange method found. Their offer: diffie-hellman-group14-sha1,diffie-hellman-group-excha
Et surtout, il y arrive fréquemment que le nombre d’échecs de connections dépasse le maxretry durant le findtime paramétrés dans mon /etc/fail2ban/jail.local (https://paste.yunohost.org/homezohosu.ini)
sans que l’adresse soit ban par fail2ban.
Quelques questions du coup, y a-t-il lieu de s’en inquiéter? pourquoi ces multiples tentatives semblent outrepasser les règles de fail2ban et est-il possible de durcir ces règles pour éviter que ça n’arrive trop souvent?
Hmben l’explication la plus simple serait que fail2ban ne tourne pas (et/ou que la jail ssh ne soit pas active…)
Sinon peut-etre que ce sont des attaques qui ne sont pas trouvées par fail2ban car ne correspondent pas à la regex définie dans la jail … (c.f. “filter sshd”)
Je pense plutôt à la 2e option car il y a toujours de l’activité dans le fail2ban.log et d’autres IP sont ban de temps à autre.
Ça faisait un moment que j’évitais le sujet des regex, c’est peut-être le moment de s’y mettre alors… Des docs à suggérer qui ne font pas trop mal à la tête? XD
Ou éventuellement le port de ssh qui a été changé et qui n’est pas bloqué. Je vois dans le message “port 38670” , est-ce le port de ssh? Si oui il faut l’indiquer dans la configuration de fail2ban.
Oups! J’avais pensé à un changement de port et je n’avais pas lu les logs en lien, ça ne semble pas être le cas. Maintenant que tu me le fais remarquer, ça me semble évident
Bon, le temps d’être un peu plus calé sur les regex et filtrer dans les règles de l’art, j’ai (sans-doute temporairement) pas mal nettoyé mes logs en bannissant directement les sous-réseaux correspondant aux ip récurrentes (retrouvés avec un whois) et un
sudo fail2ban-client set sshd banip xxx.xxx.xxx.xxx/xx
Comme toutes les adresses ne provenaient finalement que de 4/5 sous-réseaux c’était fait en autant de commandes ^^
). La plupart des connections aboutissent au message suivant:
