Как понять, работает ли фильтр fail2ban s sh с новым портом?

Question

Я изменил свой порт sh (по соображениям безопасности) и добавил следующие строки в свой файл: /etc/fail2ban/jail.local

[sshd]
enabled = true
port    = 18249
#port    = ssh,sftp,18249

Теперь, когда я запускаю эту команду:

sudo fail2ban-client status sshd

я получаю такой результат:

Status for the jail: sshd
|- Filter
|  |- Currently failed: 0
|  |- Total failed: 0
|  `- File list:    /var/log/auth.log
`- Actions
   |- Currently banned: 0
   |- Total banned: 0
   `- Banned IP list:   

Красиво и фантастично c, но это также кажется слишком хорошим, чтобы быть правдой ... (У меня были периоды, когда были тысячи попыток доступа к s sh.), сомнение приходит.

Есть ли другой способ понять / подтвердить, работает ли фильтр?

Или все работает, все в порядке , все настроено правильно, и я ни о чем не беспокоюсь?

(PS это не мой порт)

Answer 1

Вы можете подключиться к вашему серверу с другого компьютера и преднамеренно завершить сеанс входа s sh. Затем проверьте свои журналы fail2ban в /var/log/fail2ban.log и ожидайте что-то вроде этого:

...
2006-02-13 15:52:30,388 fail2ban.actions: WARNING [sendmail] Ban XXX.66.82.116
2006-02-13 15:59:29,295 fail2ban.actions: WARNING [sendmail] Ban XXX.27.118.100
2006-02-13 16:07:31,183 fail2ban.actions: WARNING [sendmail] Unban XXX.66.82.116
2006-02-13 16:14:29,530 fail2ban.actions: WARNING [sendmail] Unban XXX.27.118.100
2006-02-13 16:56:27,086 fail2ban.actions: WARNING [ssh] Ban XXX.136.60.164
2006-02-13 17:11:27,833 fail2ban.actions: WARNING [ssh] Unban XXX.136.60.164

Взято из здесь .

Answer 2

У меня были те же проблемы при настройке для моего сервера. Тогда я сократил время бана до 30 секунд, сделал несколько неправильных входов с другой машины (вы даже можете использовать телефон android с JuiceS SH) и проверил журналы. Не забудьте увеличить время запрета, как только оно заработает как положено!