Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2007-07-23 15:09:11
aso - Nowy użytkownik
- aso
- Nowy użytkownik
- Zarejestrowany: 2007-04-27
fail2ban - problem z "banowaniem"
Jako że jeszcze nie ma tematu o fail2ban zakładam nowy.
Pojawia się u mnie problem z blokowaniem usług (banowaniem konkretnego IP komputera).
Najbardziej obrazowe będzie logowanie przez ssh.
Maksymalna ilość prób logowania to u mnie 4. Po 4 nieudanej próbie logowania IP powinno zostać zablokowane na określony czas przez filtr iptables. Niestety z blokowaniem tym fail2ban ma problemy. Po zawieszeniu połączenia przez ssh i ponownej próbie logowania (tym razem z dobrym hasłem bez problemu można wejść na konto).
mój plik (fragment) fail2ban.local wygląda tak:
Kod:
[DEFAULT] ignoreip = 127.0.0.1 bantime = 3600 maxretry = 4 backend = polling #destmail = action = iptables[name=%(__name__)s, port=%(port)s] [ssh] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log
sprawdzając logi fail2ban widzę że program wykonuje...:
2007-07-23 13:32:11,003 fail2ban.actions.action: INFO Set actionBan = iptables -I fail2ban-<name> 1 -s <ip> -j DROP
2007-07-23 13:32:11,005 fail2ban.actions.action: INFO Set actionStop = iptables -D INPUT -p <protocol> --dport <port> -j fail2ban-<name>
iptables -F fail2ban-<name>
iptables -X fail2ban-<name>
czyli najpierw wykonuje akcję blokowania zdeklarowaną w jail.local a następnie czyści wszystkie reguły (dlaczego?).
myślałem również o dodaniu innych regexów.
standardowo jest:
Kod:
failregex = (?:(?:Authentication failure|Failed [-/w+]+) for(?: [iI](?:llegal|nvalid) user)?|[Ii](?:llegal|nvalid) user|ROOT LOGIN REFUSED) .*(?: from|FROM) <HOST>
zmieniłem na znalezione:
Kod:
failregex = Authentication failure for .* from <HOST> Failed [-/w]+ for .* from <HOST> ROOT LOGIN REFUSED .* FROM <HOST> [iI](?:llegal|nvalid) user .* from <HOST>
jednak te drugie nie działają - w logach jest error: no failregex is set.
Offline
#2 2007-07-23 15:57:29
Zbooj - 
Dark Sith
- Zbooj
- Dark Sith
- Skąd: Siedziba Wszelkiego Zła
- Zarejestrowany: 2005-07-28
Re: fail2ban - problem z "banowaniem"
http://www.fail2ban.org/wiki/index.php/HOWTO_fail2b … _filter_setup
Iptables action setup
The Iptables script should be fine. However, some settings have to be set in config/jail.conf.
Offline
#3 2007-08-06 11:04:46
aso - Nowy użytkownik
- aso
- Nowy użytkownik
- Zarejestrowany: 2007-04-27
Re: fail2ban - problem z "banowaniem"
niestety po powrocie mam ten sam problem. bawie się tym od rana i efekt jest ten sam.
korzystałem już z wielu źródeł,
z tego również:
wszystko jest na cacy przedstawione jednak w dalszym ciagu nie jestem w stanie rozwiązać tego problemu.
przeglądając logi fail2bana i auth.log dochodzę do wniosku że albo fail2ban nie działa prawidłowo, albo nie współpracuje z plikiem auth.log.
po restarcie usługi fail2ban w pliku ~/fail2ban.log widać efekty przeładowania.
następnie próba "błędnego" logowania jako zwykły użytkownik. maxretry ustawione na 4. ja po 6 próbach dostaje komunikat protocol error i w logu auth.log widzę standardowy wpis z ilością prób = 6. oczywiście bana nie ma na tego użytkownika.
bawiłem się różnymi regexami ale to raczej nie w tym problem.
Offline