как настроить sshd_config, чтобы fail2ban мог видеть ботов

Я обновил свой sshd_config, чтобы быть более строгим по отношению к ботам. а именно:

разрешены только ключи, за исключением нескольких указанных пользователей на определенных IP-адресах
MaxAuthTries = 1
нет корневого входа

Это было и хорошо, и плохо. Хотя он еще больше блокирует ящик, после тестирования я заметил, что даже при ведении журнала VERBOSE запрещенные клиенты не будут видеть свои попытки, зарегистрированные в /var/log/auth.log.

например

ssh baduser@example.com

не будет отображаться в файлах журнала, потому что клиент не пытался авторизоваться.

Я хотел бы убедиться, что эти события регистрируются, так как хосты могут считаться «злыми».

ssh fail2ban

Я не большой поклонник fail2ban, так как он эффективен только против злоумышленников, у которых нет сотен / тысяч IP-адресов для использования в распределенной атаке методом грубой силы. Таким образом, он ловит только злоумышленников, которые осуществляют полный перебор с одного IP-адреса.

Хозяева поймали на этом зло? Что ж, они по крайней мере заражены кодом бота, чтобы их можно было использовать в атаках.

За последнее десятилетие я обнаружил, что выгоднее сосредоточиться на том, что вы уже сделали, и направить свою энергию на предотвращение других направлений атаки. Я считаю, что лучше использовать подход к безопасности с использованием белого списка, чем обратный / реакционный черный список.

Требуется для защиты SSH:

Запрет входа в учетную запись "root"
Использование аутентификации с открытым ключом для учетных записей
Ограничение учетных записей на основе паролей определенными диапазонами IP-адресов (я все еще считаю это очень рискованным)

Чрезвычайно полезно:

Ограничение доступа к серверу и / или порту в определенных частях мира с помощью брандмауэра.
Перемещение порта SSH по умолчанию, что значительно сократит количество ненужных файлов журнала, которые вам придется обрабатывать (автоматически или вручную).

Я понимаю, что это не тот технический ответ, который вы ищете.