Nach vielen lesen und testen habe ich jetzt folgende Config am laufen:
Code: Alles auswählen
hosts.allow:
sshd: localhost, 127.0.0.1 : allow
sshd: 192.168.10.0/255.255.255.0: allow
sshd: 95.115.115.47: allow
sshd: 91.22.72.37: allow
sshd: ALL: spawn /bin/echo `/bin/date` access denied to %h>>/var/log/banned-sshd.log: deny
hosts.deny:
sshd: ALL
Dann läuft noch ein Fail2ban, der in den erlaubten IP-Bereichen nach 3 fehlerhaften Logins via SSH die IP blockiert via IP-Tables.
Ich sehe aber weiterhin, dass fail2ban viele IPs blockiert, pro Tag knapp 50. Das sind 233.x.x.x.x, 161.xxx etc., also alles IPs, die eigentlich ja schon gar nicht durch den TCP Wrapper durchkommen sollten, oder?
Geblockte IPs sollen ja vom TCP Wrapper in einer Datei geloggt werden (banned-sshd.log). Da sind folgende Meldungen zu sehen:
Code: Alles auswählen
Mo 24. Apr 09:35:47 CEST 2023 access denied to 125.74.196.138
Mo 24. Apr 09:53:13 CEST 2023 access denied to 185.22.153.175
Mo 24. Apr 10:05:03 CEST 2023 access denied to 170.64.186.100
Mo 24. Apr 10:05:10 CEST 2023 access denied to 103.69.9.7
Mo 24. Apr 10:15:40 CEST 2023 access denied to 159.89.168.24
Mo 24. Apr 10:23:23 CEST 2023 access denied to 43.158.208.161
Mo 24. Apr 10:23:23 CEST 2023 access denied to 43.158.208.161
Mo 24. Apr 10:23:23 CEST 2023 access denied to 43.158.208.161
Mo 24. Apr 10:23:23 CEST 2023 access denied to 43.158.208.161
Mo 24. Apr 10:23:23 CEST 2023 access denied to 43.158.208.161
Mo 24. Apr 10:23:23 CEST 2023 access denied to 43.158.208.161
Mo 24. Apr 10:23:23 CEST 2023 access denied to 43.158.208.161
Mo 24. Apr 10:23:23 CEST 2023 access denied to 43.158.208.161
Mo 24. Apr 10:23:23 CEST 2023 access denied to 43.158.208.161
Mo 24. Apr 10:23:23 CEST 2023 access denied to 43.158.208.161
Mo 24. Apr 10:23:23 CEST 2023 access denied to 43.158.208.161
Mo 24. Apr 10:23:23 CEST 2023 access denied to 43.158.208.161
Mo 24. Apr 10:29:02 CEST 2023 access denied to 149.202.74.37
Mo 24. Apr 10:29:02 CEST 2023 access denied to 149.202.74.37
Mo 24. Apr 10:29:02 CEST 2023 access denied to 149.202.74.37
Mo 24. Apr 10:29:02 CEST 2023 access denied to 149.202.74.37
Mo 24. Apr 10:29:02 CEST 2023 access denied to 149.202.74.37
Mo 24. Apr 10:29:02 CEST 2023 access denied to 149.202.74.37
Mo 24. Apr 10:29:02 CEST 2023 access denied to 149.202.74.37
Mo 24. Apr 10:29:02 CEST 2023 access denied to 149.202.74.37
Mo 24. Apr 10:29:02 CEST 2023 access denied to 149.202.74.37
Mo 24. Apr 10:29:02 CEST 2023 access denied to 149.202.74.37
Mo 24. Apr 10:29:02 CEST 2023 access denied to 149.202.74.37
Meine Frage also:
Geht der TCP Wrapper bei hohen Anfragen nicht (DDOS), also dass einfach IPs von ihm nicht mehr behandelt werden können? Das würde bei 15 Anfragen pro Sekunde aber das System insgesamt in Frage stellen.
Oder warum werden manche IPs erst nach drei Logins blockiert, wenn der tcpd Wrapper die ja gar nicht zulassen soll?
Ich hoffe, ihr könnt mir hier weiterhelfen.