Причины ложных блокировок SSH в fail2ban

Проблема: Fail2ban ошибочно банит доверенные IP-адреса при попытке подключения по SSH (ложноположительное срабатывание).

Причины:
1. Слишком низкие пороги срабатывания (`maxretry`, `findtime`) — легитимные повторные подключения (например, из-за сбоя сети или автоматизации) превышают лимит.
2. Неверное регулярное выражение в фильтре (`sshd.conf`) — захватывает нормальные события (ошибки аутентификации из-за неверного ключа, дубликаты логов).
3. Игнорирование доверенных подсетей/IP не настроено (параметр `ignoreip` пуст или не включает нужные диапазоны).
4. Многопоточные/параллельные подключения (например, Git‑push, Ansible) воспринимаются как множественные неудачные попытки.
5. Сетевые задержки и повторная передача пакетов — клиент отправляет несколько SYN, а сервер логирует их как отдельные подключения.

Решение:
1. Настройте `ignoreip` в `/etc/fail2ban/jail.local`:

Перезапустите fail2ban: `systemctl restart fail2ban`

2. Проверьте и увеличьте пороги (`maxretry`, `findtime`):

Если параллельные подключения — увеличьте `maxretry` до 10–15.

3. Оптимизируйте фильтр `sshd.conf` — отредактируйте `/etc/fail2ban/filter.d/sshd.conf`:

Исключите нерелевантные строки (например, `Failed keyboard-interactive` не включать, если используете ключи).

4. Используйте `journalctl` вместо `auth.log` (если система на systemd):

В `jail.local`:


5. Проверьте, не дублируются ли логи (rsyslog) — добавьте в `/etc/rsyslog.conf`:


6. Добавьте исключение для автоматизированных клиентов (например, Ansible) — задайте переменные в `jail.local` по хосту:

Скрипт проверяет IP и возвращает 0, если IP в белом списке.

7. Тестируйте фильтр вручную:**

Убедитесь, что `Ignored lines` не захватывают ваши легитимные записи.