fail2ban

[George Iordanou]

Χρησιμοποιώ το fail2ban  για να κάνω ban ip  
τα οποία προσπαθούν να κάνουν ssh  
ανεπιτυχώς (>3 φορές). Το πρόβλημα  
είναι ότι το fail2ban στην ουσία σκανάρει  
το auth.log και όταν δει 3 φορές το failure message  
(Failed password for user from ip ... ) κάνει ban μέσω των  
iptables το συγκεκριμένο ip. Όμως, o logger του  
debian, προφανώς για λόγους  
εξοικονόμησης χώρου, όταν το ίδιο logline  
προκύπτει διαδοχικά, το παρουσιάζει  
μόνο μια φορά και στη συνέχεια έχει "Last  
message repeated X times". Προφανώς το παραπάνω  
δεν γίνεται αντιληπτό από το fail2ban..  
Υπάρχει κάποιος τρόπος να  
απενεργοποιήσω το συγκεκριμένο feature  
του logger;

Αν και συνήθως τα attacks γίνονται  
αλλάζοντας username και password (επομένως  
αλλάζει και το logline), η περίπτωση που η  
επίθεση γίνεται με τη χρήση του ίδιου  
username (άρα και logline) δεν καλύπτεται.

Καλημέρα σας,
Γιώργος