fail2ban с явным sftp vsftpd
Конфигурация по умолчанию fail2ban vsftpd не заботится о блокировке запросов грубой силы, когда tls включен на vsftpd .
На данный момент журнал vsftpd показывает только следующие строки, которые не соответствуют регулярному выражению. Есть ли у кого-нибудь хорошее регулярное выражение для блокировки?
Fri Mar 3 19:56:16 2017 [pid 19866] CONNECT: Client "39.162.209.108"
Fri Mar 3 19:56:17 2017 [pid 19868] CONNECT: Client "39.162.209.108"
1
задан Thomas
5 March 2017 в 14:54
Ссылка
1 ответ
Понял. При неявном использовании FTP, vsftpd-журналы не отображают сбоев, как это обычно бывает, если пользователи пытаются войти без SSL. Я должен был добавить ниже в конфигурационный файл vsftpd.
log_ftp_protocol=YES
Затем я добавил ниже в fail2ban фильтр для vsftpd.
Client "<HOST>", "530 Non-anonymous sessions must use encryption."
Client "<HOST>", "530 Anonymous sessions must use encryption."
Это будет ловить пользователей, которые не знают, что шифрование необходимо, но для нас это гораздо более вероятно для перехвата постоянного трафика грубой силы.
.0