Hallo zusammen,
in erster Linie zu Übungszwecken - um mich in die Materie einzuarbeiten - betreibe ich einen Root Server.
Mich interessiert also nicht nur dass es funktioniert, sondern auch wie und warum es funktioniert.
Nagut, das wollte ich nur mal vorweg erwähnt haben.
Ich habe fail2ban installiert und /etc/fail2ban/jail.local konfiguriert:
ignoreip = 127.0.0.1
bantime = 3600
maxretry = 3
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
Anschließend /etc/init.d/fail2ban restart
Wenn ich nun mein Passwort 3x falsch eingebe passiert überhaupt nichts, erst nach 6 Versuchen werde ich rausgeschmissen, kann mich aber sofort danach wieder mit dem korrekten Passwort erfolgreich anmelden.
fail2ban-client status ssh ergibt folgendes:
Status for the jail: ssh
|- filter
| |- File list: /var/log/auth.log
| |- Currently failed: 0
| `- Total failed: 11
`- action
|- Currently banned: 1
| `- IP list: XXX.XXX.XXX.XXX
`- Total banned: 1
So wie ich das sehe wurde meine IP wurde zwar gesperrt, allerdings hat das nichts bewirkt, ich kann mich ja schließlich immer noch anmelden.
Und warum werde ich erst nach 6 versuchen rausgeschmissen, wenn nach 3 Versuchen doch schon meine IP gesperrt werden sollte?
Ich habe zwei IP Adressen, IPv4 & IPv6. Liegt es vielleicht daran? Die IPv4 wurde gesperrt, IPv6 jedoch nicht.
Und außerdem verwende ich nicht den SSH Standardport 22, sondern einen anderen.
Aber das dürfte ja keine Rolle spielen, da bei fail2ban port = ssh konfiguriert ist.
Es wird also der Port verwendet, der für SSH konfiguriert ist, sehe ich das richtig?
Ich hoffe ihr könnt mir etwas auf die Sprünge helfen, vielen Dank schon mal.