คำถามติดแท็ก fail2ban

Fail2ban สแกนไฟล์บันทึกเช่น / var / log / pwdfail หรือ / var / log / apache / error_log และแบน IP ที่ทำให้รหัสผ่านล้มเหลวมากเกินไป ปรับปรุงกฎไฟร์วอลล์เพื่อปฏิเสธที่อยู่ IP

11
วิธีการยกเลิกการแบนข้อมูล IP อย่างถูกต้องด้วย Fail2Ban
ฉันใช้ Fail2Ban บนเซิร์ฟเวอร์และฉันสงสัยว่าจะยกเลิกการห้ามใช้ IP อย่างถูกต้องได้อย่างไร ฉันรู้ว่าฉันสามารถทำงานกับ IPTables ได้โดยตรง: iptables -D fail2ban-ssh <number> แต่ไม่มีวิธีที่จะทำกับfail2ban-client? fail2ban-client get ssh actionunban <IP>ในคู่มือก็ระบุสิ่งที่ต้องการ: แต่นั่นไม่ได้ผล นอกจากนี้ฉันไม่ต้องการ/etc/init.d/fail2ban restartที่จะสูญเสียเรย์แบนทั้งหมดในรายการ

11
Denyhosts vs fail2ban กับ iptables - วิธีที่ดีที่สุดในการป้องกันการเข้าสู่ระบบที่ดุร้าย?
ฉันกำลังตั้งค่าเซิร์ฟเวอร์ LAMP และจำเป็นต้องป้องกัน SSH / FTP / ฯลฯ ความพยายามในการเข้าสู่ระบบแบบ brute-force ไม่สำเร็จ ฉันเห็นคำแนะนำมากมายสำหรับทั้ง denyhosts และ fail2ban แต่มีการเปรียบเทียบสองอย่างน้อย ฉันยังอ่านว่ากฎ IPTables สามารถเติมฟังก์ชันเดียวกันได้ ทำไมฉันถึงเลือกหนึ่งในวิธีการเหล่านี้กับอีกวิธีหนึ่ง? ผู้คนใน serverfault จัดการกับปัญหานี้ได้อย่างไร

6
บล็อกถาวรของ IP หลังจากลองใหม่โดยใช้ fail2ban
ฉันมี fail2ban ที่กำหนดค่าไว้ด้านล่าง: บล็อก ip หลังจาก 3 ครั้งที่ล้มเหลว ปล่อย IP หลังจากหมดเวลา 300 วินาที มันทำงานได้อย่างสมบูรณ์และฉันต้องการให้มันเป็นเช่นนี้เพื่อให้ผู้ใช้ที่ถูกต้องได้รับโอกาสที่จะลองเข้าสู่ระบบอีกครั้งหลังจากหมดเวลา ตอนนี้ฉันต้องการใช้กฎที่หากตรวจพบว่า IP เดียวกันเป็นการโจมตีและบล็อกไม่ถูกบล็อก 5 ครั้งบล็อก IP อย่างถาวรและไม่ต้องยกเลิกการบล็อกอีกครั้ง สามารถทำได้ด้วย fail2ban เพียงอย่างเดียวหรือฉันต้องเขียนสคริปต์ของตัวเองเพื่อทำเช่นนั้น? ฉันกำลังทำสิ่งนี้ใน centos
38 fail2ban 

7
วิธีแสดง ip ที่ถูกแบนทั้งหมดด้วย fail2ban
เมื่อฉันเรียกใช้คำสั่งนี้fail2ban-client status sshdฉันได้รับสิ่งนี้: Status for the jail: sshd |- Filter | |- Currently failed: 1 | |- Total failed: 81 | `- File list: /var/log/auth.log `- Actions |- Currently banned: 2 |- Total banned: 8 `- Banned IP list: 218.65.30.61 116.31.116.7 มันแสดงเพียงสอง IP ในรายการ IP ที่ถูกแบนแทนที่จะเป็น 8 เหมือนกับที่ Total Banned …
36 fail2ban 

1
Fail2ban jail.local vs jail.conf
ไฟล์ jail.local ทำหน้าที่แทนที่ทับกับ jail.conf หรือแทนที่เป็น jail.conf หรือไม่? เมื่อฉันเรียนรู้เกี่ยวกับFail2Banจากบทช่วยสอนพวกเขาส่วนใหญ่มักจะพูดว่าคัดลอก jail.conf ไปที่ jail.local และทำการแก้ไขที่นั่นและบางคนบอกว่าจะสร้างไฟล์ jail.local ใหม่และให้การตั้งค่าจำนวนมากเพื่อคัดลอก และวาง แต่สิ่งที่พวกเขาไม่ได้กล่าวถึงคือ jail.local ทำงานกับ jail.conf อย่างไร นี่คือสถานการณ์ 2 อย่าง: แทนที่:หาก jail.local ทำหน้าที่เป็นไฟล์ override to jail.conf สิ่งที่ฉันต้องทำก็แค่เพิ่มการตั้งค่าที่จำเป็นที่ฉันต้องการจะแทนที่เป็นค่าเริ่มต้นที่กำหนดใน jail.conf ในกรณีนี้ฉันไม่จำเป็นต้องเพิ่ม SSH config ฯลฯ เนื่องจากรวมอยู่ใน jail.conf แล้ว การแทนที่:หาก jail.conf ไม่ถูกต้องเมื่อ jail.local มีอยู่ฉันต้องเพิ่มกฎทั้งหมดใน jail.local แล้วแก้ไขสิ่งที่ฉันต้องการแก้ไข คุณช่วยยืนยันสิ่งที่เกิดขึ้นกับ jail.conf ได้ไหมเมื่อ jail.local ปรากฎโปรด …

5
ใน Fail2Ban วิธีเปลี่ยนหมายเลขพอร์ต SSH
ในเซิร์ฟเวอร์ของฉันพอร์ต ssh ไม่ใช่มาตรฐาน 22 ฉันได้ตั้งค่าอื่น หากฉันติดตั้ง fail2ban มันจะสามารถตรวจจับพอร์ตนั้นได้หรือไม่ ฉันจะบอกให้ตรวจสอบพอร์ตนั้นแทนพอร์ต 22 ได้อย่างไร ผลลัพธ์ของiptables -L -v -n: Chain fail2ban-ssh (1 references) pkts bytes target prot opt in out source destination 0 0 DROP all -- * * 119.235.2.158 0.0.0.0/0 0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 Chain fail2ban-ssh-ddos (0 references) …
24 ssh  fail2ban 

1
วิธีการตั้งค่า fail2ban เพื่ออ่านหลายบันทึกในคุก?
ฉันจะกำหนดค่าหลายพา ธ สำหรับกฎเดียวกันได้อย่างไร ฉันพยายามเขียนไวยากรณ์เช่นนี้ [apache-w00tw00t] enabled = true filter = apache-w00tw00t action = iptables-allports logpath = /var/log/apache*/*error.log logpath = /var/www/vhosts/site1.com/log/errorlog logpath = /var/www/vhosts/site1.com/subdom/log/errorlog logpath = /var/www/vhosts/site3/log/errorlog logpath = /var/www/vhosts/site4/log/errorlog maxretry = 1 เส้นทางต่างกันดังนั้นฉันจึงไม่สามารถใช้ RE * ได้ ไวยากรณ์ที่ถูกต้องในการใส่บันทึกเพิ่มเติมไปยังกฎคืออะไร?

6
การแบ่งปันของ fail2ban ห้าม IP
ฉันใช้ fail2ban ในเซิร์ฟเวอร์ทั้งหมดที่มีบริการที่เปิดเผยต่อสาธารณะและฉันสงสัยว่า: มีวิธีง่าย ๆในการแบ่งปัน IP ที่ถูกแบนระหว่างโฮสต์ที่ฉันควบคุมหรือไม่? มีบริการออกจากที่นั่นเพื่อรวบรวมและเผยแพร่ข้อมูลดังกล่าวหรือไม่ ฉันได้รับความพยายามในการเข้าสู่ระบบนับไม่ถ้วนตั้งแต่วันที่ 1 ของการตั้งค่าเซิร์ฟเวอร์นี้
18 fail2ban 

7
Fail2Ban: ถูกแบนแล้ว?
ฉันมี Fail2Ban ทำงานบนเซิร์ฟเวอร์ Centos ของฉัน (กำหนดค่าด้านล่าง) ในvar / log / messagesฉันสังเกตเห็นบางสิ่งที่แปลกจริง ๆ : Jun 19 12:09:32 localhost fail2ban.actions: INFO [postfix] 114.43.245.205 already banned ฉันกำหนดค่า Fail2Ban เพื่อเพิ่ม IP ที่ถูกแบนไปยัง iptables jail.conf ของฉัน: [postfix] enabled = true filter = postfix action = iptables port = smtp,ssmtp filter = postfix logpath = /var/log/maillog …

3
การห้ามที่อยู่ IPv6
ขณะนี้ฉันคุ้นเคยกับการใช้เครื่องมือเช่น fail2ban เพื่อป้องกันการรับส่งข้อมูลที่ไม่ต้องการออกจากเซิร์ฟเวอร์ของฉันโดยการห้ามที่อยู่ IPv4: มีรายการบันทึกที่ไม่ดีต่อ IP มากเกินไปห้ามแบน IP อย่างไรก็ตามเมื่อโลกเสร็จสิ้นการโยกย้ายไปยัง IPv6 การห้ามที่อยู่เดียวอาจจะไม่ทำงานอีกต่อไปเนื่องจากคอมพิวเตอร์ botnet "ปกติ" หรือผู้โจมตีมีที่อยู่ IPv6 จำนวนมากใช่ไหม หากฉันต้องการปิดกั้นผู้ใช้ IPv6 สิ่งที่จะเป็นวิธีที่ดีที่สุดในการบรรลุเป้าหมายนี้ ใช้ IP mask ตัวใดตัวหนึ่งหรืออย่างอื่น? ทำอย่างไรกับ "ยกระดับการวิเคราะห์พฤติกรรม" เมื่อคุณได้รับความนิยมหลายครั้งใน IPv6 จากนั้นแบนบล็อกทั้งหมด? สำหรับฉันมันสำคัญกว่าที่จะบรรเทาภัยคุกคาม หากผู้ใช้ของแท้ที่น่าสงสารบางคนอยู่ในบล็อกเดียวกันกับ IP ที่ถูกบล็อกนั่นเป็นปัญหาระหว่างคนเหล่านั้นกับ ISP ของพวกเขาเพื่อให้ netblock นั้นถูกล้าง
16 ipv6  fail2ban 

5
มันคุ้มค่ากับความพยายามในการบล็อกความพยายามในการเข้าสู่ระบบที่ล้มเหลวหรือไม่
มันคุ้มค่าที่จะใช้fail2ban , sshdfilter หรือเครื่องมือที่คล้ายกันซึ่งบัญชีดำที่อยู่ IP ใดที่พยายามและไม่สามารถเข้าสู่ระบบได้ ฉันเห็นมันแย้งว่านี่เป็นโรงละครรักษาความปลอดภัยบนเซิร์ฟเวอร์ "ปลอดภัย" อย่างไรก็ตามฉันรู้สึกว่ามันอาจทำให้ kiddies สคริปต์ย้ายไปยังเซิร์ฟเวอร์ถัดไปในรายการของพวกเขา สมมติว่าเซิร์ฟเวอร์ของฉัน "ปลอดภัย" และฉันไม่กังวลว่าการโจมตีด้วยเดรัจฉานจะสำเร็จจริง ๆ - เป็นเครื่องมือเหล่านี้เพียงทำให้ logfiles ของฉันสะอาดหรือฉันได้รับผลประโยชน์คุ้มค่าในการบล็อกการโจมตีด้วยกำลังดุร้าย? อัปเดต : มีความคิดเห็นมากมายเกี่ยวกับการคาดเดารหัสผ่านเดรัจฉาน - ฉันพูดถึงว่าฉันไม่ได้กังวลเกี่ยวกับเรื่องนี้ บางทีฉันควรจะเจาะจงมากขึ้นและถามว่า fail2ban มีประโยชน์ใด ๆ สำหรับเซิร์ฟเวอร์ที่อนุญาตเฉพาะการล็อกอินที่ใช้คีย์ ssh เท่านั้น
15 security  ssh  fail2ban 

10
หยุด fail2ban หยุด / เริ่มการแจ้งเตือน
หากเซิร์ฟเวอร์รีสตาร์ทหรือแม้ว่า fail2ban จะหยุด / เริ่มก็จะส่งการแจ้งเตือน [asterisk-iptables] enabled = true filter = asterisk action = iptables-allports[name=ASTERISK, protocol=all] sendmail-whois[name=ASTERISK, dest=blah@foo.com, sender=blah@foo.com] logpath = /var/log/asterisk/messages maxretry = 5 bantime = 259200 การลบ sendmail-whois จะหยุด แต่ก็ยังหยุดการแจ้งเตือนห้ามฉันจะให้มันหยุดเพื่อแจ้งเตือนฉันเมื่อกระบวนการเริ่ม / หยุด? ขอบคุณ
15 fail2ban 

3
ฉันจะตั้งค่าการตรวจสอบ MySQL ด้วย Fail2ban ได้อย่างไร
การค้นหาอินเทอร์เน็ตด้วยเครื่องมือค้นหาบน MySQL และ fail2ban ให้ผลลัพธ์จำนวนมากในการวาง fail2ban ของคุณลงใน MySQL แต่ฉันต้องการตรวจสอบความล้มเหลวของ MySQL พยายามที่จะเข้าสู่ระบบและห้าม IP ของเหล่านั้น แอปพลิเคชันของฉันต้องการให้ฉันเปิดพอร์ตไว้สำหรับ MySQL แต่ฉันได้เปลี่ยนพอร์ตเริ่มต้นเพื่อเพิ่มความปลอดภัย เพื่อความปลอดภัยเพิ่มเติม แต่ฉันต้องการตรวจสอบล็อก MySQL ด้วย fail2ban ใครบ้างมีคำแนะนำอย่างรวดเร็วในการกำหนดค่า fail2ban สำหรับ MySQL? ฉันได้ทำการติดตั้งและทำงานกับบริการอื่น ๆ แล้วดังนั้นคุณสามารถข้ามส่วนการติดตั้งและข้ามไปทางขวาเพื่อกำหนดค่าไฟล์ปรับแต่งหรืออะไรก็ตามที่จำเป็น

2
การติดตั้งจาก EPEL บน Amazon EC2
ฉันพยายามติดตั้ง fail2ban ใน Amazon EC2 Linux AMI (CentOS) ของเรา ฉันรู้ว่า fail2ban อยู่ใน EPEL ดังนั้นฉันได้ทำสิ่งต่อไปนี้แล้ว: wget http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm sudo rpm -Uvh epel-release*rpm อย่างไรก็ตามเมื่อฉันทำเช่นนั้นฉันจะได้รับข้อความต่อไปนี้: package epel-release-6-8.9.amzn1.noarch (which is newer than epel-release-6-8.noarch) is already installed ซึ่งหมายความว่าฉันมี EPEL อยู่แล้ว แต่ถ้าฉัน: sudo yum install fail2ban ฉันเข้าใจ: Loaded plugins: priorities, security, update-motd, upgrade-helper amzn-main | 2.1 kB …

2
Fail2Ban พยายามแบน IP อย่างถูกต้อง แต่ IP ไม่ถูกแบน - มีโซ่ iptables อยู่ แต่ไม่ทำงาน
ทำงานบนเซิร์ฟเวอร์ Ubuntu 14.04 ดังนั้นฉันมี fail2ban อย่างถูกต้องกำหนดให้ดำเนินการ/var/log/auth.logสำหรับการพยายามเข้าสู่ระบบ SSH เมื่อ 3 ครั้งที่ล้มเหลวฉันเห็นสิ่งนี้ในบันทึก fail2ban: 2014-11-19 15:22:56,822 fail2ban.actions: WARNING [ssh] Ban BANNED_IP_ADDY iptables -L แสดงห่วงโซ่นี้: Chain fail2ban-ssh (1 references) target prot opt source destination REJECT all -- BANNED_IP_ADDY anywhere reject-with icmp-port-unreachable RETURN all -- anywhere anywhere จาก IP นั้นฉันยังสามารถเข้าสู่ระบบผ่าน SSH ได้โดยไม่มีปัญหาใด ๆ เรื่องเดียวกันใช้กับคุก j2 …

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.