В настоящее время я использую экземпляр EC2, Linux AMI и сместил порт SSH по умолчанию 22 на более высокий порт TCP (скажем, 1234), в настоящее время я могу легко войти в систему с помощью параметра -p 1234 при подключении к SSH через терминал.
Я установил Fail2Ban в экземпляре AMI, и я создал файл с именем jail.local , Теперь я вижу такое содержимое
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
maxretry = 6
Теперь я думаю, что есть port = ssh, Теперь этот порт = ssh, вероятно, будет указывать на порт по умолчанию 22, но я уже изменил его на 1234, поэтому моя конфигурация должна включать port = ssh, 1234 или port = 1234 или любой другой чем это?
Еще один вопрос: у инстанса AMI Amazon EC2 в настоящее время нет /var/log/auth.log, когда я использую sudo tail -f /var/log/auth.log Это дает No such File or Directory Но /var/log/secure присутствует и дает мне выходные данные журнала.
Так мне тоже нужно изменить logpath слишком? Помощь будет оценена
Я верю, что ты на правильном пути. Только один способ узнать .... внести изменения и протестировать :)
fail2ban отслеживает неудачные попытки входа в систему по указанному журналу. Так что, если вы видите их в / var / log / secure, тогда я думаю, что это будет указывать на них.
[ssh]
enabled = true
port = 1234
filter = sshd
logpath = /var/log/secure
maxretry = 6
maxretry = 6
Кроме того, если вы хотите отслеживать больше, чем конкретный порт, вот пример ниже:
[ssh]
enabled = true
port = 1234,sftp,ssh
filter = sshd
logpath = /var/log/secure
maxretry = 6
maxretry = 6