Saya baru saja melakukan instalasi baru pada raspberry pi (Raspbian) saya dan saya tidak bisa mendapatkan fail2ban untuk melakukan apa pun, itu tidak memblokir login ssh yang gagal. Saya memeriksa untuk memastikan itu menunjuk pada file log yang benar ( /var/log/auth.log
) yang mana, saya telah mengkonfirmasi bahwa iptables aktif dan fail2ban dimulai dan sshd jail dihidupkan dan layanan berjalan di port 22, saya benar-benar tidak tahu apa yang harus dilakukan pada saat ini saya tidak pernah memiliki banyak kesulitan untuk bekerja dengan ssh sebelumnya. Biasanya berfungsi langsung di luar kotak. Berikut ini adalah log filter dan auth log saya:
Catatan:
Jan 22 21:11:25 PI2 sshd[22700]: pam_unix(sshd:auth): authentication failure; lo gname= uid=0 euid=0 tty=ssh ruser= rhost=216.4.56.163 user=pi
Jan 22 21:11:27 PI2 sshd[22700]: Failed password for pi from 216.4.56.163 port 1 6290 ssh2
Jan 22 21:11:27 PI2 sshd[22700]: error: Received disconnect from 216.4.56.163: 3 : com.jcraft.jsch.JSchException: Auth cancel [preauth]
Jan 22 21:17:01 PI2 CRON[22783]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 22 21:17:01 PI2 CRON[22783]: pam_unix(cron:session): session closed for user root
Jan 22 21:17:30 PI2 sshd[22809]: pam_unix(sshd:auth): authentication failure; lo gname= uid=0 euid=0 tty=ssh ruser= rhost=183.3.202.106 user=root
Jan 22 21:17:33 PI2 sshd[22809]: Failed password for root from 183.3.202.106 por t 16766 ssh2
Jan 22 21:17:36 PI2 sshd[22809]: Failed password for root from 183.3.202.106 por t 16766 ssh2
Jan 22 21:17:38 PI2 sshd[22809]: Failed password for root from 183.3.202.106 por t 16766 ssh2
Jan 22 21:17:39 PI2 sshd[22809]: Received disconnect from 183.3.202.106: 11: [p reauth]
Jan 22 21:17:39 PI2 sshd[22809]: PAM 2 more authentication failures; logname= ui d=0 euid=0 tty=ssh ruser= rhost=183.3.202.106 user=root`
Saring:
sshd.conf [----] 0 L:[ 17+21 38/ 38] *(1772/1772b) <EOF> [*][X]
^%(__prefix_line)sFailed \S+ for .*? from <HOST>(?: port \d*)?(?: ssh\d*
^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>\s*$
^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from <HOST>\s*$
^%(__prefix_line)sUser .+ from <HOST> not allowed because not listed in
^%(__prefix_line)sUser .+ from <HOST> not allowed because listed in Deny
^%(__prefix_line)sUser .+ from <HOST> not allowed because not in any gro
^%(__prefix_line)srefused connect from \S+ \(<HOST>\)\s*$
^%(__prefix_line)sReceived disconnect from <HOST>: 3: \S+: Auth fail$
^%(__prefix_line)sUser .+ from <HOST> not allowed because a group is lis
^%(__prefix_line)sUser .+ from <HOST> not allowed because none of user's
ignoreregex =.
Saya cukup yakin bahwa ini adalah filter log tetapi saya tidak yakin bagaimana cara memperbaikinya.