一つ前のエントリやら何やらで、sshdのポート番号を変えてたらbrute forceのlogin attemptが劇的に減るとかなんとか書いた。
すると、最近になって変えたポートで待ち受けるsshdへのlogin attemptが激増した。割とタイムリーだったのか。アクセス元のIPアドレスは3000種類くらいで、かなり規則性のあるバラツキがあるが、多いやつは600回くらい試行している。一応まだログインされた形跡はないと思うけど、気持ち良いものではないよなー。
うーん、このサーバって一応fail2banも入れてたはずなんだけどなー、と思って設定を見直してみたら、actionを書いてなかった! つまりDBに書くだけで実際にはbanしていなかったというオチを経験する一幕があった。デフォルトでfirewallcmd-ipsetにしとかないとダメですよね。
xmlrpc.phpの問題も、fail2banに任せればいいのかな。ちょっと設定してみたけど、効くかどうかは不明。