Я заблокировал корневую учетную запись на моем сервере с помощью passwd -l root и поэтому попытка входа в систему приводит к следующему в /var/log/auth.log:
User root not allowed because account is locked
Fail2Ban не принимает их, поэтому попытки продолжаются в течение длительного времени. Как я могу настроить Fail2Ban для их распознавания?
Пример полного сообщения:
Apr 10 13:32:28 server sshd[pid]: User root not allowed because account is locked
Итак, вы пытаетесь заблокировать все IP-адреса, которые пытаются войти в систему как root? Я предполагаю, что большинство нецелевых попыток взлома сначала попытаются войти в систему как root, а затем попробуют достаточное количество несуществующих учетных записей, чтобы заблокировать IP-адрес.
Если это не так, возможно, вам стоит изменить свой подход.
Я думаю, что лучшим вариантом, чем полная блокировка root, было бы отключить внешний вход в систему как root через конфигурацию sshd. Это может привести к попыткам входа в систему как root, вызывая сообщение безопасности, которое может использовать fail2ban.
Fail2ban не сможет работать с предоставленной информацией, поскольку нет информации <HOST>, которую он мог бы заблокировать.
Информация <HOST> - это IP-адрес или имя хоста, с которого происходит атака, fail2ban использует эту информацию для обновления конфигурации межсетевого экрана, без этого делать нечего.