คำถามติดแท็ก fail2ban

Fail2ban สแกนไฟล์บันทึกเช่น / var / log / pwdfail หรือ / var / log / apache / error_log และแบน IP ที่ทำให้รหัสผ่านล้มเหลวมากเกินไป ปรับปรุงกฎไฟร์วอลล์เพื่อปฏิเสธที่อยู่ IP

2
บันทึก Fail2ban เต็มไปด้วยรายการที่ระบุว่า“ fail2ban.filter: คำเตือนกำหนด IP โดยใช้การค้นหา DNS: .. ”
ล็อก fail2ban ของฉันที่/var/log/fail2ban.logเต็มไปด้วยรายการที่บอกว่า: fail2ban.filter : WARNING Determined IP using DNS Lookup: [IP address] ฉันคิดว่านี่อาจจะเริ่มขึ้นหลังจากที่ฉันเปลี่ยนพอร์ต ssh ของฉัน ... แนวคิดใดที่ทำให้เกิดสิ่งนี้คืออะไรและจะหยุดมันได้อย่างไร
2
Fail2Ban ปลดบล็อกที่อยู่ ipaddress
ฉันพยายามที่จะปลดบล็อคที่อยู่ IP โดยไม่ต้องเริ่มต้น Fail2Ban ใหม่ทุกครั้งวิธีที่ดีที่สุดในการทำเช่นนี้คืออะไร? หรือคุณสามารถชี้ฉันในทิศทางของคู่มือที่มีประโยชน์ได้หรือไม่ อย่างที่คุณเห็นด้านล่างที่อยู่ IP ที่ฉันพยายามลบคือ: 89.31.259.161 # iptables -L -n Chain INPUT (policy DROP) target prot opt source destination fail2ban-apache-badbots tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 fail2ban-httpd tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 fail2ban-sasl tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 25,465,143,220,993,110,995 fail2ban-SSH tcp -- 0.0.0.0/0 …
5
fail2ban ปลอดภัยไหม ดีกว่าที่จะใช้ปุ่ม ssh?
ฉันสงสัยว่าฉันควรใช้การรับรองความถูกต้องของคีย์เมื่อเข้าสู่ระบบ SSH หรือเพียงแค่ไปที่ fail2ban + ssh (ปิดใช้งานการเข้าสู่ระบบรูท) fail2ban ปลอดภัยหรือดีกว่าที่จะไปข้างหน้าและสร้างคีย์และตั้งค่าที่เครื่องไคลเอนต์ของฉันทั้งหมดที่ต้องเชื่อมต่อกับ ssh หรือไม่
11 ssh  fail2ban 
3
การรักษาความปลอดภัยเซิร์ฟเวอร์ linux: iptables vs fail2ban
ผมอยากจะเลือกสมองของชุมชนเกี่ยวกับการรักษาความปลอดภัยเซิร์ฟเวอร์ลินุกซ์โดยเฉพาะเกี่ยวกับการโจมตีแรงเดรัจฉานและการใช้fail2ban VS กำหนดเองiptables มีคำถามที่คล้ายกันสองสามข้อ แต่ไม่มีคำถามใดที่ตอบหัวข้อนี้เพื่อความพึงพอใจของฉัน ในระยะสั้นฉันพยายามหาทางออกที่ดีที่สุดในการรักษาความปลอดภัยเซิร์ฟเวอร์ linux ที่เปิดเผยต่ออินเทอร์เน็ต (เรียกใช้บริการตามปกติ, ssh, เว็บ, อีเมล) จากการโจมตีที่โหดร้าย ฉันมีการจัดการที่ดีเกี่ยวกับความปลอดภัยของเซิร์ฟเวอร์เช่นการล็อค ssh โดยไม่อนุญาตให้มีการล็อกอินรูทหรือรหัสผ่านเปลี่ยนพอร์ตเริ่มต้นมั่นใจว่าซอฟต์แวร์ทันสมัยตรวจสอบไฟล์บันทึกอนุญาตให้โฮสต์บางแห่งเข้าถึงเซิร์ฟเวอร์และใช้ความปลอดภัย เครื่องมือการตรวจสอบเช่นLynis ( https://cisofy.com/lynis/ ) สำหรับการปฏิบัติตามการรักษาความปลอดภัยโดยทั่วไปดังนั้นคำถามนี้ไม่จำเป็นต้องเกี่ยวกับว่าถึงแม้จะป้อนข้อมูลและคำแนะนำที่เป็นยินดีต้อนรับเสมอ คำถามของฉันคือฉันควรใช้โซลูชันใด (fail2ban หรือ iptables) และฉันจะกำหนดค่าได้อย่างไรหรือฉันควรใช้ทั้งสองอย่างร่วมกันเพื่อป้องกันการโจมตีที่โหดร้าย? มีการตอบสนองที่น่าสนใจเกี่ยวกับหัวข้อ ( Denyhosts vs fail2ban vs iptables- วิธีที่ดีที่สุดในการป้องกันการเข้าสู่ระบบกำลังดุร้าย? ) คำตอบที่น่าสนใจที่สุดสำหรับฉันคือ ( https://serverfault.com/a/128964 ) และการกำหนดเส้นทาง iptablesนั้นเกิดขึ้นในเคอร์เนลซึ่งตรงข้ามกับ fail2ban ซึ่งใช้เครื่องมือโหมดผู้ใช้เพื่อแยกวิเคราะห์ไฟล์บันทึก Fail2ban ใช้ iptables แน่นอน แต่ก็ยังต้องแยกวิเคราะห์ไฟล์บันทึกและจับคู่รูปแบบจนกว่าจะดำเนินการ มันสมเหตุสมผลหรือไม่ที่จะใช้ iptables …
2
วิธี * เพิ่ม * กฎในคำจำกัดความตัวกรอง fail2ban ภายในเครื่อง
ฉันติดตั้ง fail2ban เป็นแพคเกจโดย Debian บนเซิร์ฟเวอร์ภายใต้การควบคุมของฉัน เนื่องจากฉันมีข้อผิดพลาดบางส่วนจากก่อนหน้านี้ฉันจึงนำสิ่งเหล่านี้ไปไว้ในไฟล์คำจำกัดความตัวกรองในเครื่องเพื่อที่พวกเขาจะได้รับการพิจารณาเช่นกัน ดังนั้นฉันลงท้ายด้วยเช่น /etc/fail2ban/filter.d/sshd.conf และ /etc/fail2ban/filter.d/sshd.local นี่คือวิธีที่แนะนำให้ตั้งค่าและดูเหมือนว่าจะทำงานได้ดีสำหรับสิ่งที่มันเป็น อย่างไรก็ตามในไฟล์. local ฉันจะแทนที่รายการทั้งหมดของความล้มเหลวจากไฟล์. conf ดูเหมือนว่าเอกสารจะไม่แสดงว่ามีวิธีการอื่นใดอีกและเพื่อให้สามารถใช้งานได้ฉันเพิ่งคัดลอกไฟล์. conf ที่จัดจำหน่ายไปยังไฟล์. local และทำการเพิ่มเติมบางส่วน มันจะดีจริงๆถ้าฉันสามารถแก้ไขรายการได้รับประโยชน์จากการทำงานของผู้ดูแลอัปสตรีมและเดเบียนในการติดตามการเปลี่ยนแปลงของ regexes ตัวกรองรายการบันทึกการกระจายการบำรุงรักษา วิธีแก้ปัญหาจริงเพียงอย่างเดียวที่ฉันคิดได้ก็คือสร้างคุกสองแห่งโดยใช้การตั้งค่าที่จัดไว้ให้และอีกหนึ่งตัวใช้งานของฉันเอง สิ่งนี้ดูเหมือนว่าจะมีข้อเสีย (ที่สำคัญพอสมควร) ซึ่งถือว่าเป็นคุกอิสระ (ซึ่งคุณคาดหวังจากการตั้งค่าเช่นนั้น) แน่นอนว่าฉันไม่สามารถเป็นคนเดียวที่ต้องการเพิ่มความล้มเหลวบางส่วนของตัวเองลงในคอลเล็กชันที่มีอยู่แล้วด้วยความยุ่งยากในการบำรุงรักษาขั้นต่ำ เป็นไปได้หรือไม่ที่จะแก้ไขรายการของ failregex และ ignoreregex ภายในคำจำกัดความตัวกรอง fail2ban ผ่านไฟล์ site-local หรือ host-local โดยไม่ทำการเปลี่ยนแปลงใด ๆ กับไฟล์ global หรือแจกจ่ายที่สอดคล้องกัน? ถ้าเป็นเช่นนั้นแล้วจะทำอย่างไร?
10 debian  fail2ban 
2
ตัวกรอง fail2ban แบบกำหนดเองสำหรับความพยายามในการ phpMyadmin bruteforce
ในการค้นหาเพื่อป้องกันการphpMyAdminพยายามลงชื่อเข้าใช้ที่ล้มเหลวมากเกินไปfail2banฉันได้สร้างสคริปต์ที่บันทึกว่าการพยายามทำแฟ้มล้มเหลว:/var/log/phpmyadmin_auth.log บันทึกที่กำหนดเอง รูปแบบของ/var/log/phpmyadmin_auth.logไฟล์คือ: phpMyadmin login failed with username: root; ip: 192.168.1.50; url: http://somedomain.com/phpmyadmin/index.php phpMyadmin login failed with username: ; ip: 192.168.1.50; url: http://192.168.1.48/phpmyadmin/index.php ตัวกรองที่กำหนดเอง [Definition] # Count all bans in the logfile failregex = phpMyadmin login failed with username: .*; ip: <HOST>; phpMyAdmin คุก [phpmyadmin] enabled = true port = …
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.