Salut
J'ai regardé un peu et il y aurait une manip' qui marche. C'est pas basé sur les erreurs d'authentification mais sur le nombres de tentatives loupées à la suite avec la même ip. Donc ça éviterait le bruteforce pareil...
Tu ouvres le fichier de conf de Fail2ban:
nano /etc/fail2ban/jail.local
et tu colles ça avec les autres règles du bas:
[sslh-ssh]
enabled = true
filter = sslh-ssh
action = iptables-multiport[name=sslh,port="443"]
logpath = /var/log/messages
maxretry = 5
ensuite tu crées la règle qui va bien:
nano /etc/fail2ban/filter.d/sslh-ssh.conf
et tu colles:
# Add the following to you fail2ban configuration file
# In Debian it'd go in /etc/fail2ban/filter.d/sslh-ssh.conf
# Fail2Ban filter for sslh demultiplexed ssh
#
# Doesn't (and cannot) detect auth errors,
# but many connection attempts from the same
# origin is reason enough to block.
#
# Verion: 2014-03-28
[INCLUDES]
# no includes
[Definition]
failregex = ^.+ sslh\[.+\]: connection from <HOST>:.+ to .+ forwarded
from .+ to .+:ssh\s*$
ignoreregex =
# Author: Evert Mouw <post@evert.net>
tu relances Fail2ban pour terminer:
/etc/init.d/fail2ban restart
Si il couine pas au redémarrage, ce sera déjà bon signe.
Je te garanti pas que ça fasse le job par contre, faudra voir à l'usage ou trouver une victime pour tester !
https://github.com/yrutschle/sslh
Ex.
