Hi!
Hab auf meinem Homeserver (erreichbar via SSH+PK) folgende Login-Versuche gesehen:
# less /var/log/auth.log Apr 13 10:04:52 raspi sshd[32578]: Received disconnect from 58.218.211.11: 11: [preauth] Apr 13 10:04:56 raspi sshd[32576]: Received disconnect from 183.3.202.107: 11: [preauth] Apr 13 10:25:50 raspi sshd[448]: Received disconnect from 221.229.162.7: 11: [preauth] Apr 13 10:50:34 raspi sshd[858]: Received disconnect from 58.218.205.69: 11: [preauth] Apr 13 11:17:54 raspi sshd[1325]: Received disconnect from 183.3.202.107: 11: [preauth]
Soweit nicht weiter tragisch, da kein Login stattgefunden hat. Was mich aber stutzig macht, ist die niedrige PID (von 32576 → 448), was auf einen Neustart hinweisen würde. Auch der syslog in diesem Zeitraum hilft mir nicht wirklich weiter:
# less /var/log/syslog.1 Apr 13 10:00:01 raspi CRON[32510]: (root) CMD (/usr/sbin/ddclient) Apr 13 10:09:01 raspi CRON[32641]: (root) CMD ( [ -x /usr/lib/php5/sessionclean ] && /usr/lib/php5/sessionclean) Apr 13 10:17:01 raspi CRON[326]: (root) CMD ( cd / && run-parts --report /etc/cron.hourly) Apr 13 10:30:01 raspi CRON[518]: (root) CMD (/usr/sbin/ddclient)
Die uptime spricht aber gegen einen Reboot:
10:20:32 up 3 days, 21:20 - also seit 10.04.2016 up
netstat zeigt mir allerdings nicht mehr offene Ports als gewöhnlich. Habt ihr noch Ideen welche Gründe ein SSHD-Neustart haben könnte? Oder wo ich weitere Hinweise finde?
By the way, was sind "gute" Werte für fail2ban? Schon klar, ist ohne Log schwer zu sagen. Aber vielleicht kann jemand auf Erfahrungswerte zurückgreifen.. Im Moment hab ich ca. 10 Bans/Tag, die Konfiguration schaut so aus:
bantime = 900 findtime = 300 maxretry = 5
Danke & Grüße, Michael