在 sshd“收到斷開/斷開連接... [preauth]”日誌上應用fail2ban是否安全？

Question 1

/etc/fail2ban/filter.d/sshd.conf 中沒有對應的規則，因此這些嘗試不會導致 failed2ban 禁止違規 IP 位址。

您使用什麼版本？ Fail2Ban 附帶了一個關於此的預定義規則，包含在所有模式使用的通用失敗正規表示式中。

我的一個系統中的 Fail2Ban v0.10.2 包含此規則：

^<F-NOFAIL>Received <F-MLFFORGET>disconnect</F-MLFFORGET></F-NOFAIL> from <HOST>: 11:

Fail2Ban v0.11.2 包括這個（更好）：

^<F-NOFAIL>Received <F-MLFFORGET>disconnect</F-MLFFORGET></F-NOFAIL> from <HOST>%(__on_port_opt)s:\s*11:

顯然開發人員認為以下任何一行

Received disconnect from <HOST>: 11:
Received disconnect from <HOST> port XXXXX:11:

就足夠了。相關關鍵字是Received disconnect from和: 11:部分（而不是後綴[preauth]）。

這<F-NOFAIL>意味著該行不是失敗，並且會在不<F-NOFAIL>禁止 IP 的情況下進行另一次匹配，因此您必須刪除周圍的標籤。

Answer

/etc/fail2ban/filter.d/sshd.conf 中沒有對應的規則，因此這些嘗試不會導致 failed2ban 禁止違規 IP 位址。

您使用什麼版本？ Fail2Ban 附帶了一個關於此的預定義規則，包含在所有模式使用的通用失敗正規表示式中。

我的一個系統中的 Fail2Ban v0.10.2 包含此規則：

^<F-NOFAIL>Received <F-MLFFORGET>disconnect</F-MLFFORGET></F-NOFAIL> from <HOST>: 11:

Fail2Ban v0.11.2 包括這個（更好）：

^<F-NOFAIL>Received <F-MLFFORGET>disconnect</F-MLFFORGET></F-NOFAIL> from <HOST>%(__on_port_opt)s:\s*11:

顯然開發人員認為以下任何一行

Received disconnect from <HOST>: 11:
Received disconnect from <HOST> port XXXXX:11:

就足夠了。相關關鍵字是Received disconnect from和: 11:部分（而不是後綴[preauth]）。

這<F-NOFAIL>意味著該行不是失敗，並且會在不<F-NOFAIL>禁止 IP 的情況下進行另一次匹配，因此您必須刪除周圍的標籤。

Question 2

添加與其中一些行匹配的正則表達式是否安全，或者我會冒匹配合法（基於密鑰）登入嘗試的風險？哪些部件可以構成安全的組合？匹配單字「Disconnected」和標籤「[preauth]」是否一定表示基於密碼的暴力破解失敗？

合法的成功連線和身份驗證不會觸發此類日誌行。這些條目可能來自掃描儀，不會造成損害，但也可以被阻止。 preauth 意味著這些客戶端尚未開始身份驗證。

即使您自己導致登入失敗，無論是使用錯誤的密鑰還是輸入錯誤的密碼，使用fail2ban仍然可以。 fail2ban 僅在可設定數量的匹配日誌行之後阻塞，並且僅在特定時間範圍內阻塞。

您可以在 Debian buster 中使用此程式碼片段（例如 cmdfailre）：

^Received disconnect from <HOST>%(__on_port_opt)s:11: \s* %(__suff)s$
^Disconnected from authenticating user <F-USER>.*?</F-USER> <HOST>%(__on_port_opt)s %(__suff)s$

Answer