บันทึก Fail2ban เต็มไปด้วยรายการที่ระบุว่า“ fail2ban.filter: คำเตือนกำหนด IP โดยใช้การค้นหา DNS: .. ”

12

ล็อก fail2ban ของฉันที่/var/log/fail2ban.logเต็มไปด้วยรายการที่บอกว่า:

fail2ban.filter : WARNING Determined IP using DNS Lookup: [IP address]

ฉันคิดว่านี่อาจจะเริ่มขึ้นหลังจากที่ฉันเปลี่ยนพอร์ต ssh ของฉัน ...

แนวคิดใดที่ทำให้เกิดสิ่งนี้คืออะไรและจะหยุดมันได้อย่างไร

— เดิร์กคอลลาเวย์
แหล่งที่มา

10

มีปัญหาเดียวกัน

วิธีแก้ปัญหาง่าย ๆ : เพิ่มบรรทัดต่อไปนี้ที่ด้านบนของ/etc/fail2ban/jail.confไฟล์ของคุณใน[DEFAULT]ส่วน

usedns = no

จะเข้าใจว่าทำไมล็อกไฟล์ของคุณจะถูกเต็มไปด้วยคำเตือนปรึกษาหน้าต่อไปนี้ในวิกิพีเดีย fail2ban โดยทั่วไปแล้วเพื่อป้องกันไม่ให้ผู้ใช้จัดการระเบียน PTR ของ IP โจมตีของพวกเขาเพื่อฉีดค่าเท็จในบันทึกของคุณ

— qux
แหล่งที่มา

1

สิ่งนี้จะไม่เปิดโอกาสในการถูกโจมตีหรือไม่หากผู้ใช้พยายามเข้าสู่ระบบสำหรับชื่อโฮสต์ (เนื่องจากชื่อโฮสต์จะถูกละเว้นในกรณีนี้) บางทีฉันอ่านเอกสารผิด แต่ดูเหมือนว่านี่อาจเป็นความคิดที่ไม่ดี

— Quinn

2

นอกจากนี้เอกสารกล่าวว่าการแก้ปัญหาคือการตั้งค่าบริการทั้งหมดที่จะไม่ทำการค้นหา DNS ย้อนกลับและแทนการเข้าสู่ระบบที่อยู่ IP เท่านั้น คำเตือนที่ได้รับจาก fail2ban ( IP ที่กำหนดโดยใช้การค้นหา DNS ) ระบุว่าบริการบางอย่างกำลังบันทึกชื่อโฮสต์ ทางออกที่ดีที่สุดคือการกำหนดบริการที่และปิดการค้นหา DNS สำหรับมัน การตั้งค่าusedns = noหยุดคำเตือนและจะป้องกันการบล็อกเครือข่าย PTR ที่ปลอมแปลง แต่ปล่อยให้บริการที่กำลังบันทึกชื่อโฮสต์ไม่ได้รับการป้องกันอย่างสมบูรณ์โดย fail2ban

— Quinn Comendant

2

ตรวจสอบบันทึก PTR ของ [ที่อยู่ IP] และเปรียบเทียบชื่อที่แก้ไขแล้วกับที่อยู่ IP ดั้งเดิมเช่น

drill -x ip_address or dig -x ip_address or host ip_address

จากนั้นเปรียบเทียบผลลัพธ์กับ:

drill result or dig result or host result

มันควรจะเหมือนกัน. หากไม่ใช่ - ผู้โจมตีเปลี่ยน PTR คุณอาจจะปรับเปลี่ยนusednsคำสั่งที่จะ "ไม่" หรือ "เตือน" jail.confใน

— plluksie
แหล่งที่มา