Как настроить fail2ban?

Question

[Алексей Тутубалин]

Есть дебиан сервер к которому подключаюсь по sftp(proftpd), когда начинаю передавать много файлов ловлю бан(fail2ban-ssh) от fail2ban, хотя бывает и по ssh чистому бан как настроить? ip у меня динамический, впн не подойдёт так как из разных мест подключаюсь

конфиг в fail2ban

[ssh]

enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6

и немного логов во время бана из auth.log

Nov 7 20:18:33 site.ru CRON[17162]: pam_unix(cron:session): session closed for user root
Nov 7 20:18:33 site.ru sshd[17692]: Address 82.208.127.xxx maps to 82-208-100-xxx.pg-nat-pool3.mts-nn.ru, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Nov 7 20:18:34 site.ru sshd[17692]: Accepted password for root from 82.208.127.xxx port 34426 ssh2
Nov 7 20:18:34 site.ru sshd[17692]: pam_unix(sshd:session): session opened for user root by (uid=0)
Nov 7 20:18:34 site.ru sshd[17692]: subsystem request for sftp by user root
Nov 7 20:18:44 site.ru sshd[17713]: Address 82.208.127.xxx maps to 82-208-100-xxx.pg-nat-pool3.mts-nn.ru, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Nov 7 20:18:44 site.ru sshd[17713]: Accepted password for root from 82.208.127.xxx port 34430 ssh2
Nov 7 20:18:44 site.ru sshd[17713]: pam_unix(sshd:session): session opened for user root by (uid=0)
Nov 7 20:18:44 site.ru sshd[17713]: subsystem request for sftp by user root
Nov 7 20:19:01 site.ru CRON[17781]: pam_unix(cron:session): session opened for user root by (uid=0)
Nov 7 20:19:01 site.ru CRON[17781]: pam_unix(cron:session): session closed for user root
Nov 7 20:20:01 site.ru CRON[17916]: pam_unix(cron:session): session opened for user www-data by (uid=0)
Nov 7 20:20:01 site.ru CRON[17917]: pam_unix(cron:session): session opened for user ps58 by (uid=0)
Nov 7 20:20:01 site.ru CRON[17918]: pam_unix(cron:session): session opened for user user1 by (uid=0)
Nov 7 20:20:01 site.ru CRON[17919]: pam_unix(cron:session): session opened for user user1 by (uid=0)
Nov 7 20:20:01 site.ru CRON[17925]: pam_unix(cron:session): session opened for user root by (uid=0)
Nov 7 20:20:01 site.ru CRON[17923]: pam_unix(cron:session): session opened for user root by (uid=0)
Nov 7 20:20:01 site.ru CRON[17926]: pam_unix(cron:session): session opened for user root by (uid=0)

Answer 1

[Макс]

в /etc/ssh/sshd_config добавьте
UseDNS no
- перестанет ругаться на несовпадение имени и ip - fail2ban перестанет банить 8)

Answer 2

[silverjoe]

Там есть в файле jail.conf параметр "exclude" чтоли, в нем прописан локалхост
Впишите через запятую ваши IP с которых вы подключаетесь и перезапустите fail2ban

Comments

[Алексей Тутубалин]

Я же сказал ip динамические везде какой будет неизвестно да и маска у провайдера очень большая

[silverjoe]

Алексей Тутубалин: Тогда читайте по каким условиям срабатывают фильтры и думайте как в эти условия не попасть. Почему вас банит по ssh - это кстати вопрос, меня ниразу не банило, причем я в конфиге ssh меняю только порт и отключаю доступ root-у

[Алексей Тутубалин]

silverjoe: Как раз из-за несовпадении имён днс

[silverjoe]

Алексей Тутубалин: А ну я значит ни разу с динамики не подключался что ли? Да ладнааа! :) мож там че новенького в фильтры закинули. Какая версия хоть у fail2ban?