Я использую fail2ban для защиты демона s sh, но я вижу что-то, что fail2ban не запускается по умолчанию. В моих журналах fail2ban я вижу записи, подобные следующим:
2020-03-09 17:29:41,774 fail2ban.filter [19104]: INFO [sshd] Found 1.1.1.22 - 2020-03-09 17:29:41
2020-03-09 17:29:57,696 fail2ban.filter [19104]: INFO [sshd] Found 1.1.1.25 - 2020-03-09 17:29:57
2020-03-09 17:30:32,714 fail2ban.filter [19104]: INFO [sshd] Found 1.1.1.59 - 2020-03-09 17:30:32
2020-03-09 17:30:48,414 fail2ban.filter [19104]: INFO [sshd] Found 1.1.1.90 - 2020-03-09 17:30:48
2020-03-09 17:31:07,640 fail2ban.filter [19104]: INFO [sshd] Found 1.1.1.11 - 2020-03-09 17:31:07
2020-03-09 17:31:12,941 fail2ban.filter [19104]: INFO [sshd] Found 1.1.1.22 - 2020-03-09 17:31:12
2020-03-09 17:31:17,717 fail2ban.filter [19104]: INFO [sshd] Found 1.1.1.32 - 2020-03-09 17:31:17
2020-03-09 17:31:22,713 fail2ban.filter [19104]: INFO [sshd] Found 1.1.1.59 - 2020-03-09 17:31:22
2020-03-09 17:31:24,581 fail2ban.filter [19104]: INFO [sshd] Found 1.1.1.90 - 2020-03-09 17:31:24
Этот шаблон будет повторяться примерно через 8 часов, наряду с несколькими другими шаблонами из того же / 24. Поскольку все эти попытки подключения исходят из одной и той же сети, я считаю, что все они принадлежат одному и тому же злоумышленнику и хотели бы заблокировать всю / 24. Я нашел несколько инструкций о том, как блокировать сеть, а не хост, в списке рассылки Debian Bugs здесь , и это прекрасно работает, но не могу найти способ запуска по шаблону / 24, а не по отдельности айпи адрес. Я мог бы сделать свои правила немного более строгими (возможно, триггером на два сбоя), чтобы перехватить этот экземпляр, но он не перехватил бы все экземпляры, которые я вижу в моих журналах.
Любые указатели на установку это вверх?