Ezt a hosts.deny-os kérdést már átrágtuk az előző topikodban, ahol kifejezetten ez volt a kérdésed: fail2ban IP blokkolás beállítása. De ismét: a tűzfalalapú tiltás gyakorlatilag azonnali szakadást tud eredményezni, a hosts.deny-os megoldással pedig csak az új TCP kapcsolatoknál ellenőrződik, azaz egy TCP sessionben az sshd konfigja által engedélyezett maximális számú próbálkozás le tud futni.
Ott azt írtad, "Effektíve nekem mindegy, hogy hova kerülnek a blokkolt IP-k". A kérdés az, hogy ha jól működik a default iptables (pontosabban iptables-multiport), akkor miért akarsz helyette hosts.deny általi tiltást, amikor gyakorlatilag az utóbbi a te szempontodból előnytelenebb?
"Azaz, ha ezt rakom be az actionba, akkor azt fogom-e elérni, hogy x próbálkozás után végleg kitiltódik-e egy felhasználó (be szeretném rakni a /etc/hosts.deny-be?"
Igen (a fenti egy TCP sessionre vonatkozó kitétellel, ill. a "végleg" szóra a következő bekezdésben visszatérek). De ugyanígy működik az iptables-féle is. Azt próbáld megérteni, hogy a fail2ban egy keretrendszer. Olvassa a megadott logfile-okat, és ha a konfigjában meghatározott mintákat észlel, akkor lefuttat egy megadott programot. Amikor letelik egy meghatározott idő, akkor lefuttat egy másik programot. Ezek a programok vagy ilyen, vagy olyan módszert alkalmaznak a szóban forgó forgalom tiltására. Neked teljesen mindegy melyik a tiltást végző módszer, de az tűzfalasnál azért lenne jobb maradni, mert az nem engedi át (pontosabban nem kell átengednie, és alapból nem is teszi) az egy TCP session alatti további próbálkozásokat.
"után végleg kitiltódik-e egy felhasználó"
Ha nem a szokásos módszert akarod alkalmazni, és valóban a cél a végleg, akkor ennek módjáról már szintén beszéltünk az előző topikban. Ahogy a fentiekből kiderül, a tiltás hosszának nincs köze a tiltás módszeréhez (iptables vagy hosts.deny).
"A kérdésem a jail.conf-ban szereplő action-re vonatkozott, azaz hogyan kell átadni az IP címet actionban?"
Válaszoltam is rá. Explicite sehogy sem szükséges. Mert a logból származik a tiltandó IP. (Az, hogy a logsorban melyik a hostnév vagy IP, azt a filterben adod meg, illetve jelen esetben adták meg a fail2ban készítői. Hogy ezt az IP-t miként és hol kell használni a tiltáshoz, az meg értelemszerűen az action definíciójában szerepel.)
"Sőt találtam egy ilyen actiont hostsdeny, ez azt jelenti, hogy végleg kiüti a betolakodót?"
"Arra gondoltam, hogy ki lehetne-e valahogyan tiltani egy IP-t a serverről"
Mivel a fail2ban célja ez, így nem meglepő módon ki lehet tiltani. Hogy végleg, vagy ideiglenesen, ez csak a jail beállításától függ. De újra: miért keresel új tiltási módszert, ha az alapértelemzett tűzfalas felel meg neked a legjobban?