คำถามติดแท็ก fail2ban

ฉันใช้ Fail2Ban บนเซิร์ฟเวอร์และฉันสงสัยว่าจะยกเลิกการห้ามใช้ IP อย่างถูกต้องได้อย่างไร ฉันรู้ว่าฉันสามารถทำงานกับ IPTables ได้โดยตรง: iptables -D fail2ban-ssh <number> แต่ไม่มีวิธีที่จะทำกับfail2ban-client? fail2ban-client get ssh actionunban <IP>ในคู่มือก็ระบุสิ่งที่ต้องการ: แต่นั่นไม่ได้ผล นอกจากนี้ฉันไม่ต้องการ/etc/init.d/fail2ban restartที่จะสูญเสียเรย์แบนทั้งหมดในรายการ

200 firewall  iptables  fail2ban 

ฉันกำลังตั้งค่าเซิร์ฟเวอร์ LAMP และจำเป็นต้องป้องกัน SSH / FTP / ฯลฯ ความพยายามในการเข้าสู่ระบบแบบ brute-force ไม่สำเร็จ ฉันเห็นคำแนะนำมากมายสำหรับทั้ง denyhosts และ fail2ban แต่มีการเปรียบเทียบสองอย่างน้อย ฉันยังอ่านว่ากฎ IPTables สามารถเติมฟังก์ชันเดียวกันได้ ทำไมฉันถึงเลือกหนึ่งในวิธีการเหล่านี้กับอีกวิธีหนึ่ง? ผู้คนใน serverfault จัดการกับปัญหานี้ได้อย่างไร

62 iptables  brute-force-attacks  fail2ban  denyhosts 

ฉันมี fail2ban ที่กำหนดค่าไว้ด้านล่าง: บล็อก ip หลังจาก 3 ครั้งที่ล้มเหลว ปล่อย IP หลังจากหมดเวลา 300 วินาที มันทำงานได้อย่างสมบูรณ์และฉันต้องการให้มันเป็นเช่นนี้เพื่อให้ผู้ใช้ที่ถูกต้องได้รับโอกาสที่จะลองเข้าสู่ระบบอีกครั้งหลังจากหมดเวลา ตอนนี้ฉันต้องการใช้กฎที่หากตรวจพบว่า IP เดียวกันเป็นการโจมตีและบล็อกไม่ถูกบล็อก 5 ครั้งบล็อก IP อย่างถาวรและไม่ต้องยกเลิกการบล็อกอีกครั้ง สามารถทำได้ด้วย fail2ban เพียงอย่างเดียวหรือฉันต้องเขียนสคริปต์ของตัวเองเพื่อทำเช่นนั้น? ฉันกำลังทำสิ่งนี้ใน centos

38 fail2ban 

เมื่อฉันเรียกใช้คำสั่งนี้fail2ban-client status sshdฉันได้รับสิ่งนี้: Status for the jail: sshd |- Filter | |- Currently failed: 1 | |- Total failed: 81 | `- File list: /var/log/auth.log `- Actions |- Currently banned: 2 |- Total banned: 8 `- Banned IP list: 218.65.30.61 116.31.116.7 มันแสดงเพียงสอง IP ในรายการ IP ที่ถูกแบนแทนที่จะเป็น 8 เหมือนกับที่ Total Banned …

36 fail2ban 

ไฟล์ jail.local ทำหน้าที่แทนที่ทับกับ jail.conf หรือแทนที่เป็น jail.conf หรือไม่? เมื่อฉันเรียนรู้เกี่ยวกับFail2Banจากบทช่วยสอนพวกเขาส่วนใหญ่มักจะพูดว่าคัดลอก jail.conf ไปที่ jail.local และทำการแก้ไขที่นั่นและบางคนบอกว่าจะสร้างไฟล์ jail.local ใหม่และให้การตั้งค่าจำนวนมากเพื่อคัดลอก และวาง แต่สิ่งที่พวกเขาไม่ได้กล่าวถึงคือ jail.local ทำงานกับ jail.conf อย่างไร นี่คือสถานการณ์ 2 อย่าง: แทนที่:หาก jail.local ทำหน้าที่เป็นไฟล์ override to jail.conf สิ่งที่ฉันต้องทำก็แค่เพิ่มการตั้งค่าที่จำเป็นที่ฉันต้องการจะแทนที่เป็นค่าเริ่มต้นที่กำหนดใน jail.conf ในกรณีนี้ฉันไม่จำเป็นต้องเพิ่ม SSH config ฯลฯ เนื่องจากรวมอยู่ใน jail.conf แล้ว การแทนที่:หาก jail.conf ไม่ถูกต้องเมื่อ jail.local มีอยู่ฉันต้องเพิ่มกฎทั้งหมดใน jail.local แล้วแก้ไขสิ่งที่ฉันต้องการแก้ไข คุณช่วยยืนยันสิ่งที่เกิดขึ้นกับ jail.conf ได้ไหมเมื่อ jail.local ปรากฎโปรด …

25 iptables  firewall  debian-wheezy  fail2ban  jail 

ในเซิร์ฟเวอร์ของฉันพอร์ต ssh ไม่ใช่มาตรฐาน 22 ฉันได้ตั้งค่าอื่น หากฉันติดตั้ง fail2ban มันจะสามารถตรวจจับพอร์ตนั้นได้หรือไม่ ฉันจะบอกให้ตรวจสอบพอร์ตนั้นแทนพอร์ต 22 ได้อย่างไร ผลลัพธ์ของiptables -L -v -n: Chain fail2ban-ssh (1 references) pkts bytes target prot opt in out source destination 0 0 DROP all -- * * 119.235.2.158 0.0.0.0/0 0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 Chain fail2ban-ssh-ddos (0 references) …

24 ssh  fail2ban 

ฉันจะกำหนดค่าหลายพา ธ สำหรับกฎเดียวกันได้อย่างไร ฉันพยายามเขียนไวยากรณ์เช่นนี้ [apache-w00tw00t] enabled = true filter = apache-w00tw00t action = iptables-allports logpath = /var/log/apache*/*error.log logpath = /var/www/vhosts/site1.com/log/errorlog logpath = /var/www/vhosts/site1.com/subdom/log/errorlog logpath = /var/www/vhosts/site3/log/errorlog logpath = /var/www/vhosts/site4/log/errorlog maxretry = 1 เส้นทางต่างกันดังนั้นฉันจึงไม่สามารถใช้ RE * ได้ ไวยากรณ์ที่ถูกต้องในการใส่บันทึกเพิ่มเติมไปยังกฎคืออะไร?

20 log-files  fail2ban 

ฉันใช้ fail2ban ในเซิร์ฟเวอร์ทั้งหมดที่มีบริการที่เปิดเผยต่อสาธารณะและฉันสงสัยว่า: มีวิธีง่าย ๆในการแบ่งปัน IP ที่ถูกแบนระหว่างโฮสต์ที่ฉันควบคุมหรือไม่? มีบริการออกจากที่นั่นเพื่อรวบรวมและเผยแพร่ข้อมูลดังกล่าวหรือไม่ ฉันได้รับความพยายามในการเข้าสู่ระบบนับไม่ถ้วนตั้งแต่วันที่ 1 ของการตั้งค่าเซิร์ฟเวอร์นี้

18 fail2ban 

ฉันมี Fail2Ban ทำงานบนเซิร์ฟเวอร์ Centos ของฉัน (กำหนดค่าด้านล่าง) ในvar / log / messagesฉันสังเกตเห็นบางสิ่งที่แปลกจริง ๆ : Jun 19 12:09:32 localhost fail2ban.actions: INFO [postfix] 114.43.245.205 already banned ฉันกำหนดค่า Fail2Ban เพื่อเพิ่ม IP ที่ถูกแบนไปยัง iptables jail.conf ของฉัน: [postfix] enabled = true filter = postfix action = iptables port = smtp,ssmtp filter = postfix logpath = /var/log/maillog …

17 iptables  postfix  fail2ban 

ขณะนี้ฉันคุ้นเคยกับการใช้เครื่องมือเช่น fail2ban เพื่อป้องกันการรับส่งข้อมูลที่ไม่ต้องการออกจากเซิร์ฟเวอร์ของฉันโดยการห้ามที่อยู่ IPv4: มีรายการบันทึกที่ไม่ดีต่อ IP มากเกินไปห้ามแบน IP อย่างไรก็ตามเมื่อโลกเสร็จสิ้นการโยกย้ายไปยัง IPv6 การห้ามที่อยู่เดียวอาจจะไม่ทำงานอีกต่อไปเนื่องจากคอมพิวเตอร์ botnet "ปกติ" หรือผู้โจมตีมีที่อยู่ IPv6 จำนวนมากใช่ไหม หากฉันต้องการปิดกั้นผู้ใช้ IPv6 สิ่งที่จะเป็นวิธีที่ดีที่สุดในการบรรลุเป้าหมายนี้ ใช้ IP mask ตัวใดตัวหนึ่งหรืออย่างอื่น? ทำอย่างไรกับ "ยกระดับการวิเคราะห์พฤติกรรม" เมื่อคุณได้รับความนิยมหลายครั้งใน IPv6 จากนั้นแบนบล็อกทั้งหมด? สำหรับฉันมันสำคัญกว่าที่จะบรรเทาภัยคุกคาม หากผู้ใช้ของแท้ที่น่าสงสารบางคนอยู่ในบล็อกเดียวกันกับ IP ที่ถูกบล็อกนั่นเป็นปัญหาระหว่างคนเหล่านั้นกับ ISP ของพวกเขาเพื่อให้ netblock นั้นถูกล้าง

16 ipv6  fail2ban 

มันคุ้มค่าที่จะใช้fail2ban , sshdfilter หรือเครื่องมือที่คล้ายกันซึ่งบัญชีดำที่อยู่ IP ใดที่พยายามและไม่สามารถเข้าสู่ระบบได้ ฉันเห็นมันแย้งว่านี่เป็นโรงละครรักษาความปลอดภัยบนเซิร์ฟเวอร์ "ปลอดภัย" อย่างไรก็ตามฉันรู้สึกว่ามันอาจทำให้ kiddies สคริปต์ย้ายไปยังเซิร์ฟเวอร์ถัดไปในรายการของพวกเขา สมมติว่าเซิร์ฟเวอร์ของฉัน "ปลอดภัย" และฉันไม่กังวลว่าการโจมตีด้วยเดรัจฉานจะสำเร็จจริง ๆ - เป็นเครื่องมือเหล่านี้เพียงทำให้ logfiles ของฉันสะอาดหรือฉันได้รับผลประโยชน์คุ้มค่าในการบล็อกการโจมตีด้วยกำลังดุร้าย? อัปเดต : มีความคิดเห็นมากมายเกี่ยวกับการคาดเดารหัสผ่านเดรัจฉาน - ฉันพูดถึงว่าฉันไม่ได้กังวลเกี่ยวกับเรื่องนี้ บางทีฉันควรจะเจาะจงมากขึ้นและถามว่า fail2ban มีประโยชน์ใด ๆ สำหรับเซิร์ฟเวอร์ที่อนุญาตเฉพาะการล็อกอินที่ใช้คีย์ ssh เท่านั้น

15 security  ssh  fail2ban 

หากเซิร์ฟเวอร์รีสตาร์ทหรือแม้ว่า fail2ban จะหยุด / เริ่มก็จะส่งการแจ้งเตือน [asterisk-iptables] enabled = true filter = asterisk action = iptables-allports[name=ASTERISK, protocol=all] sendmail-whois[name=ASTERISK, dest=blah@foo.com, sender=blah@foo.com] logpath = /var/log/asterisk/messages maxretry = 5 bantime = 259200 การลบ sendmail-whois จะหยุด แต่ก็ยังหยุดการแจ้งเตือนห้ามฉันจะให้มันหยุดเพื่อแจ้งเตือนฉันเมื่อกระบวนการเริ่ม / หยุด? ขอบคุณ

15 fail2ban 

การค้นหาอินเทอร์เน็ตด้วยเครื่องมือค้นหาบน MySQL และ fail2ban ให้ผลลัพธ์จำนวนมากในการวาง fail2ban ของคุณลงใน MySQL แต่ฉันต้องการตรวจสอบความล้มเหลวของ MySQL พยายามที่จะเข้าสู่ระบบและห้าม IP ของเหล่านั้น แอปพลิเคชันของฉันต้องการให้ฉันเปิดพอร์ตไว้สำหรับ MySQL แต่ฉันได้เปลี่ยนพอร์ตเริ่มต้นเพื่อเพิ่มความปลอดภัย เพื่อความปลอดภัยเพิ่มเติม แต่ฉันต้องการตรวจสอบล็อก MySQL ด้วย fail2ban ใครบ้างมีคำแนะนำอย่างรวดเร็วในการกำหนดค่า fail2ban สำหรับ MySQL? ฉันได้ทำการติดตั้งและทำงานกับบริการอื่น ๆ แล้วดังนั้นคุณสามารถข้ามส่วนการติดตั้งและข้ามไปทางขวาเพื่อกำหนดค่าไฟล์ปรับแต่งหรืออะไรก็ตามที่จำเป็น

13 mysql  security  iptables  fail2ban 

ฉันพยายามติดตั้ง fail2ban ใน Amazon EC2 Linux AMI (CentOS) ของเรา ฉันรู้ว่า fail2ban อยู่ใน EPEL ดังนั้นฉันได้ทำสิ่งต่อไปนี้แล้ว: wget http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm sudo rpm -Uvh epel-release*rpm อย่างไรก็ตามเมื่อฉันทำเช่นนั้นฉันจะได้รับข้อความต่อไปนี้: package epel-release-6-8.9.amzn1.noarch (which is newer than epel-release-6-8.noarch) is already installed ซึ่งหมายความว่าฉันมี EPEL อยู่แล้ว แต่ถ้าฉัน: sudo yum install fail2ban ฉันเข้าใจ: Loaded plugins: priorities, security, update-motd, upgrade-helper amzn-main | 2.1 kB …

12 centos  amazon-ec2  fail2ban  epel 

ทำงานบนเซิร์ฟเวอร์ Ubuntu 14.04 ดังนั้นฉันมี fail2ban อย่างถูกต้องกำหนดให้ดำเนินการ/var/log/auth.logสำหรับการพยายามเข้าสู่ระบบ SSH เมื่อ 3 ครั้งที่ล้มเหลวฉันเห็นสิ่งนี้ในบันทึก fail2ban: 2014-11-19 15:22:56,822 fail2ban.actions: WARNING [ssh] Ban BANNED_IP_ADDY iptables -L แสดงห่วงโซ่นี้: Chain fail2ban-ssh (1 references) target prot opt source destination REJECT all -- BANNED_IP_ADDY anywhere reject-with icmp-port-unreachable RETURN all -- anywhere anywhere จาก IP นั้นฉันยังสามารถเข้าสู่ระบบผ่าน SSH ได้โดยไม่มีปัญหาใด ๆ เรื่องเดียวกันใช้กับคุก j2 …

12 ubuntu  iptables  fail2ban