Bonjour à tous,

J'ai un vieux Rpi B+ à la maison sur lequel j'ai un serveur web et mail.

L'ensemble fonctionne correctement, mon "problème" c'est que depuis février, je reçois des dizaines de mails de la part du service defail2ban m'indiquant qu'il ban une IP.
Rien que pour aujourd'hui je suis à presque 60ban d'IP et la journée n'est pas finit...
J'ai augmenté la durée du ban pour l'adresse IP, mais cela n'est pas efficace puisque l'IP change tout le temps.

Les raisons du ban sont souvent identiques:

The IP xxx.xx.xx.xx has just been banned by Fail2Ban after
1 attempts against sshd.

J'ai l'impression que sont des robots qui tentent autant qu'il le peuvent de "bruteforce" l’accès au serveur.
Le soucis c'est que vu qu'il s'agit d'un serveur peu puissant, je me suis retrouvé dans l'impossibilité de me connecter moi même au serveur via ssh car le service mettait trop de temps à répondre. Du coup, j'ai branché un écran et un clavier au RPI pour me connecter en local 😅.

Est-ce qu'il y a un moyen de "stopper" limiter ce nombre de "bot" tentant de se connecter ou est-ce que c'est normal pour un serveur d'avoir autant de tentative?

Je vous remercie pour vos avis.

as tu changé le port ssh ?
22 c'est une invitation permanente 🙂

    ericde45 Oui le port ssh est changé, j'ai des tentatives sur des ports qui me semble "aléatoires".

    Sinon, la solution de remplacer fail2ban par crowdsec marche pas mal. Ca demande un peu de temps de mise en place, mais après il bloque des IP de façon préventive quand ils ont été bloqués/signalés par d'autres utilisateurs. Du coup, si il y a une plage qui fait des tests vers une machine, ils se retrouvent bloqués par tous les utilisateurs de crowdsec.

    Re-changer de port + clef SSH au lieu d'un mdp + whitelist IP domicile + ban dès la 1ère tentative + durée 1 an

    Dernier recourt : fermer le port et n'y accéder qu'en local/VPN (valable pour tous les services d'ailleurs)

    Restriction du port SSH par IP.
    Modification du port SSH par défaut
    Vérification de ta conf Fail2ban pour qu'il surveille et bloque bien le bon port, si tu l'a changé
    Allongement des durées de ban
    Crowdsec serait en effet plus optimisé, complet et moins lourd pour un Pi
    et surtout, ne pas mettre ton Pi en DMZ .... si tu n'ouvre qu'un seul port, tu devrais pas avoir des tentatives sur pleins de port.

    12 jours plus tard

    essais ca perso moi ça marche propre
    cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
    sed -i 's/#port = ssh/port = 2208/' /etc/fail2ban/jail.local
    sed -i 's/bantime = 10m/bantime = 3d/' /etc/fail2ban/jail.local
    systemctl restart fail2ban

    Je t'explique en quoi celà consiste
    1 - Copie le fichier de configuration de Fail2Ban (jail.conf) vers un fichier local (jail.local) qui peut être modifié sans risque d'écraser la configuration par défaut.
    2 -Modifie la ligne du fichier jail.local qui indique le port SSH pour qu'elle écoute sur le port 2208 plutôt que le port SSH standard (22).
    3-Modifie la durée de blocage (bantime) des adresses IP qui ont été bloquées pour 3 jours au lieu de 10 minutes.
    4-Redémarre le service Fail2Ban pour que les modifications prennent effet.

    un an plus tard

    60 banne par jours , ces rien du tout !!!!!!

    dégage tout les pays que ta rien a foutre deja : GeoIP and iptables

    le port SSH , limite le a ton Ip et 1/2 de secours , deja tout les ssh seront bann direct

    ETC ETC

    Répondre…