Это действительно работает, примерно в 5 раз из 3000.
Работает на Debian, установленном с помощью apt-get и добавленном только после файла jail.local
кошка jail.local
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
bantime = 43200
Когда я бегу fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf
Я получил: Success, the total number of match is 9964
Однако мой журнал регистрации показывает, что было всего 5 банов.
Файл журнала:
##################################################################
--------------------- fail2ban-messages Begin ------------------------
Banned services with Fail2Ban: Bans:Unbans
ssh: [ 5:5 ]
---------------------- fail2ban-messages End -------------------------
--------------------- pam_unix Begin ------------------------
sshd:
Authentication Failures:
root (219.254.35.83): 1606 Time(s)
root (60.12.251.5): 594 Time(s)
root (174.121.45.9): 314 Time(s)
root (61.29.147.194): 222 Time(s)
unknown (60.12.251.5): 146 Time(s)
unknown (61.29.147.194): 84 Time(s)
bin (60.12.251.5): 22 Time(s)
backup (61.29.147.194): 8 Time(s)
mysql (61.29.147.194): 4 Time(s)
backup (60.12.251.5): 2 Time(s)
news (60.12.251.5): 2 Time(s)
mysql (60.12.251.5): 1 Time(s)
unknown (59.175.218.166): 1 Time(s)
Invalid Users:
Unknown Account: 231 Time(s)
Я вообще-то разобрался, что это такое, точнее вспомнил.
У меня на приставке не установлен iptable, поэтому запрет не работал.
Теперь я переключился на host.deny, который должен работать