înregistrare Logare
Puncte:0
Deeepdigger avatar Server

Fail2ban nu blochează încercările ssh

drapel cn
Deeepdigger

Am configurat fail2ban pentru a bloca încercările eșuate de ssh. Am verificat regula cu fail2ban-regex și un extras din jurnalele mele, funcționează bine.

De asemenea, am verificat jurnalele pentru notificarea „Ban” și IP-ul în cauză și este acolo:

zgrep „Ban.*202.29.214.13” /var/log/fail2ban.log*
/var/log/fail2ban.log:2021-08-23 01:27:19,023 fail2ban.actions [1460]: NOTĂ [sshd] Ban 202.29.214.13

Cu toate acestea, jurnalele mele ssh / auth arată încă încercări de la acel IP după marca temporală în cauză:

23 august 01:27:23 myhost123 sshd[4526]: mesaj repetat de 2 ori: [ Parola eșuată pentru root de la 202.29.214.13 portul 47633 ssh2]
23 august 01:27:23 myhost123 sshd[4526]: eroare: au fost depășite maxime de încercări de autentificare pentru root de la 202.29.214.13 portul 47633 ssh2 [preauth]
23 august 01:27:23 myhost123 sshd[4526]: Se deconectează utilizatorul de autentificare root 202.29.214.13 portul 47633: Prea multe erori de autentificare [preauth]
23 august 01:27:31 myhost123 sshd[4533]: mesaj repetat de 2 ori: [ Parola eșuată pentru root de la 202.29.214.13 portul 50424 ssh2]
23 august 01:27:31 myhost123 sshd[4533]: eroare: tentative maxime de autentificare au fost depășite pentru root de la 202.29.214.13 portul 50424 ssh2 [preauth]
23 august 01:27:31 myhost123 sshd[4533]: Se deconectează utilizatorul de autentificare root 202.29.214.13 portul 50424: Prea multe erori de autentificare [preauth]
23 august 01:27:39 myhost123 sshd[4535]: eroare: au fost depășite maxime de încercări de autentificare pentru root de la 202.29.214.13 portul 53056 ssh2 [preauth]
23 august 01:27:39 myhost123 sshd[4535]: Se deconectează rădăcina utilizatorului de autentificare 202.29.214.13 portul 53056: Prea multe erori de autentificare [preauth]
23 august 01:27:48 myhost123 sshd[4542]: eroare: au fost depășite maxime de încercări de autentificare pentru root de la 202.29.214.13 portul 55901 ssh2 [preauth]
23 august 01:27:48 myhost123 sshd[4542]: Se deconectează utilizatorul de autentificare root 202.29.214.13 portul 55901: Prea multe erori de autentificare [preauth]
23 august 01:27:55 myhost123 sshd[4551]: eroare: au fost depășite maxime de încercări de autentificare pentru root de la 202.29.214.13 portul 58908 ssh2 [preauth]
23 august 01:27:55 myhost123 sshd[4551]: Se deconectează utilizatorul de autentificare root 202.29.214.13 portul 58908: Prea multe erori de autentificare [preauth]
23 august 01:28:03 myhost123 sshd[4565]: eroare: au fost depășite maxime de încercări de autentificare pentru root de la 202.29.214.13 portul 61129 ssh2 [preauth]
23 august 01:28:03 myhost123 sshd[4565]: Se deconectează utilizatorul de autentificare root 202.29.214.13 portul 61129: Prea multe erori de autentificare [preauth]
23 august 01:28:23 myhost123 sshd[4577]: eroare: tentative maxime de autentificare au fost depășite pentru administratorul utilizatorului nevalid de la 202.29.214.13 portul 3511 ssh2 [preauth]
23 august 01:29:24 myhost123 sshd[4613]: eroare: tentative maxime de autentificare au fost depășite pentru oracolul utilizatorului nevalid de la 202.29.214.13 portul 24149 ssh2 [preauth]
23 august 01:30:07 myhost123 sshd[4641]: eroare: tentative maxime de autentificare au fost depășite pentru utilizatorul invalid de la 202.29.214.13 portul 37311 ssh2 [preauth]
23 august 01:30:15 myhost123 sshd[4647]: eroare: tentative maxime de autentificare au fost depășite pentru utilizatorul invalid de la 202.29.214.13 portul 39486 ssh2 [preauth]
23 august 01:30:58 myhost123 sshd[4684]: eroare: tentative maxime de autentificare au fost depășite pentru testul utilizatorului nevalid de la 202.29.214.13 portul 52882 ssh2 [preauth]
23 august 01:31:33 myhost123 sshd[4699]: eroare: au fost depășite maxime de încercări de autentificare pentru utilizatorul nevalid de la 202.29.214.13 portul 64849 ssh2 [preauth]

Ar trebui fail2ban să nu blocheze complet toate solicitările de la acel IP? Orice indicii despre ce să verificați sunt apreciate.

134
1 + 1
drapel jp
Dom
Verificați dacă „iptables -L -nv” returnează ceva despre f2b-ssh. Verificați jurnalele fail2ban în jurul jurnalului de ban: poate există o eroare când încercați să puneți iptables-ul.
1
Răspunde
Puncte:0
Deeepdigger avatar Server
drapel cn
Deeepdigger

Datorită indicii lui Dom: limita iptables este cauza principală a problemei.

Verificare cu:

grep „iptables: problemă de alocare a memoriei” /var/log/fail2ban.log

egrep "failcnt|numiptent" /proc/user_beancounters

Se pare că nu pot schimba limita iptables, doar furnizorul meu poate.

0 + 2
Michael Hampton avatar
drapel cz
Michael Hampton
Aceasta este încă o problemă cu OpenVZ. Este recomandat să evitați OpenVZ și să utilizați un VPS cu virtualizare adevărată.
0
Răspunde
sebres avatar
drapel il
sebres
dacă nucleul gazdei dvs. acceptă `ipset` și îl puteți folosi prin OpenVZ, puteți trece la unele dintre acțiunile iptables-ipset, deci creează un singur lanț iptables per închisoare și toate IP-urile merg la `ipset` (ceea ce este mult mai rapid și sperăm că nu este afectat de limite atât de stricte ale sistemului dvs. precum `iptables`).
1
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.