Sag mal Alex, wie genau wertet fail2ban denn die Logeinträge aus? Ich habe gerade das Problem, mich selbst ausgesperrt zu haben. Danke an IPv6, damit komme ich wenigstens noch drauf.
In der Config für den sshd-Filter stehen ja mehrere Regex-Zeilen (failregex), nach denen gesucht wird. SSHd schreibt seinerseits mehrere Logeinträge, wenn ein Login fehlerhaft war. Genau das scheint aber ein Problem zu geben.
SSHd schreibt vier Zeilen, für EINEN Fehlversuch. In dreien davon steht die IP.
Jul 9 06:36:14 sshd[28054]: User fundament from 188.xxx.yyy.zzz not allowed because none of user's groups are listed in AllowGroups
Jul 9 06:36:14 sshd[28054]: input_userauth_request: invalid user fundament [preauth]
Jul 9 06:36:16 sshd[28054]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=188.xxx.yyy.zzz user=fundament
Jul 9 06:36:17 sshd[28054]: Failed password for invalid user fundament from 188.xxx.yyy.zzz port 60040 ssh2
Mein fail2ban steht auf "sperren bei 3 Fehlversuchen binnen 15 Minuten".
So, nun scheint fail2ban die drei Logeinträge mit IP aber als 3 getrennte Login-Fehler zu werten und sperrt mich weg. Dabei war es aber nur ein Fehlversuch, der eben mehrere Logeinträge erzeugte. Dachte eigentlich, dass die diversen failregex bei einem Durchlauf als EIN Fehler gewertet werden, auch wenn mehrere gleichzeitig zutreffen. Dem ist aber wohl nicht so.
Hm, eine Idee? Ist das normal so? Wie soll man da denn fail2ban einstellen? Es gibt ja auch Fehlversuche mit nur einem Logeintrag, kommt halt drauf an, wie man es versucht. Also den Schwellenwert auf 10 zu setzen macht da nicht viel Sinn. Andere haben dann 10 Versuche und ich hätte rein rechnerisch nur 4.