Назад | Перейти на главную страницу

fail2ban с явным sftp vsftpd

В fail2ban vsftpd конфигурация по умолчанию не заботится о блокировке запросов грубой силы, когда tls включен vsftpd.
На данный момент vsftpd log показывает только следующие строки, которые не соответствуют регулярному выражению. У кого-нибудь есть хорошее регулярное выражение, чтобы позаботиться о запрете?

Fri Mar  3 19:56:16 2017 [pid 19866] CONNECT: Client "39.162.209.108"
Fri Mar  3 19:56:17 2017 [pid 19868] CONNECT: Client "39.162.209.108"

Понял. Когда используется неявный FTP, журналы vsftpd не отображают сбои, как обычно, если пользователи пытаются войти в систему без SSL. Мне пришлось добавить следующее в файл конфигурации vsftpd.

log_ftp_protocol=YES

Затем я добавил нижеприведенный фильтр в фильтр fail2ban для vsftpd.

Client "<HOST>", "530 Non-anonymous sessions must use encryption."
Client "<HOST>", "530 Anonymous sessions must use encryption."

Это поймает пользователей, которые не знают, что шифрование необходимо, но для нас гораздо больше шансов поймать постоянный трафик грубой силы.