înregistrare Logare
Puncte:0
itarill avatar Server

fail2ban nu funcționează pentru ssh decât pe portul 22

drapel vn
itarill

Fail2ban-ul meu nu funcționează pentru sshd, cu excepția portului implicit 22/tcp.

Vechea mea configurație de lucru în jail.local:

[sshd]
activat = adevărat
port = ssh

Testat fail2ban, m-a interzis după 3 încercări nereușite, conform intenției.

Am specificat în mod explicit un alt port ulterior în jail.local; ssh tunnel funcționează pe noul port, dar când greșesc în mod conștient cu o parolă ssh greșită, nu primesc un ban după orice număr de încercări.

sshd.service, fail2ban.service deja repornit, au încercat și repornirea.

Primesc mesajul de e-mail despre a fi interzis, cu toate acestea, încă pot încerca (cu succes) să mă autent.

Edit: Acesta este pastebin-ul fail2ban-client -d | grep 'ssh'

176
0 + 0
Chris avatar
drapel it
Chris
*Am specificat în mod explicit un alt port ulterior în jail.local* Dacă utilizați un port ssh personalizat, trebuie să îl setați în mod explicit în conf (ex. port = 12345), altfel fail2ban va interzice portul ssh implicit (22) .
1
Răspunde
itarill avatar
drapel vn
itarill
Asta am făcut. De aici surpriza mea.
0
Răspunde
itarill avatar
drapel vn
itarill
Timpul meu de ban este de 10 minute - dacă schimb IP-ul pentru sshd la 22 și încep un nou tunel pentru portul 22, nici nu este interzis.
0
Răspunde
sebix avatar
drapel ie
sebix
Fără informații suplimentare (configurație afișată, jurnalele etc.) este greu de ghicit ce este greșit.
0
Răspunde
Puncte:0
sebres avatar Server
drapel il
sebres

Este posibil ca ceva să nu fie corect în configurația dvs.

De exemplu, fail2ban secțiunea implicită de închisoare pentru sshd este [sshd], în timp ce exemplul dvs. arată [ssh]. Ai 2 închisori? Sau ai făcut ceva personalizare cu propria închisoare sau cu setări implicite? (de exemplu, implicit acțiune este suprascris).

Pentru a-l inspecta mai adânc ai putea arată imaginea de descărcare a configurației fail2ban (combinată).:

fail2ban-client -d | grep 'ssh'

Interesante sunt valorile actionstart (și actionban) și dacă portul este interpolat în definițiile acțiunilor.

Mic indiciu: pentru personalizare (dacă trebuie să suprascrii acțiune din anumite motive), fie setați banație numai (va fi interpolat implicit acțiune declaraţie):

[temniță]
banaction = iptables-ipset-proto6

sau utilizați toți parametrii la care se așteaptă acțiunea:

[temniță]
acțiune = iptables-ipset-proto6[port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

În caz contrar, acțiunea ar putea folosi portul implicit (care poate fi într-adevăr 22).

0 + 0
itarill avatar
drapel vn
itarill
Ai dreptate cu chestia [ssh] vs [sshd]. A fost o greșeală de scriere în postare din partea mea, fișierul de configurare are dreptate. Am adăugat un pastebin cu fail2ban-client -d.
0
Răspunde
sebres avatar
drapel il
sebres
Vedeți în dump portul este `ssh`: ` -I INPUT -p tcp -m multiport --dports ssh -j f2b-sshd'`. Deci, fie aveți încă alte configurații care suprascriu portul sshd jail (de exemplu, în `/etc/fail2ban/jail.d`, puteți verifica ce fișiere de configurare sunt incluse cu `fail2ban-client -vvd`) sau `jail.local` ` nu este la locul potrivit (trebuie să fie în `/etc/fail2ban` direct) sau configurațiile dvs. sunt încă greșite (vedeți cu atenție răspunsul meu, de exemplu, `acțiunea` din închisoare este suprascrisă și portul specificat în jail nu este furnizat către actiunea).
0
Răspunde
itarill avatar
drapel vn
itarill
Conform acestui pastebin al [fail2ban-client -vvd](https://pastebin.com/RhE44Mst) configurația ar trebui să fie în regulă, toate porturile sunt suprascrise la 31222. Localul meu de închisoare era practic o copie a jail.conf copiat într-o închisoare .local în același director.
0
Răspunde
itarill avatar
drapel vn
itarill
Mi-am curățat jail.local, acolo este [în întregime](https://pastebin.com/qsnAhGB8).
0
Răspunde
sebres avatar
drapel il
sebres
Există încă multe intrări care dublează jail.conf original (care poate fi șters), dar... în ceea ce privește portul, jail.local pare să fie în regulă. Dacă încerc să arunc peste configurația dvs. cu stoc `/etc/fail2ban` cu `fail2ban-client -d | grep 'dports'`, arată destul de bine portul corect pentru închisoarea `sshd`: `['actionstart', ' -N f2b-sshd\n -A f2b-sshd -j RETURN\n -I INPUT -p tcp -m multiport --dports 31222 -j f2b-sshd'], ['actionban', ' -I f2b-sshd 1 -s -j ']'. Așa că vă rugăm să citiți cu atenție ce am scris mai sus și să verificați cu atenție restul config.
0
Răspunde
sebres avatar
drapel il
sebres
... și dacă descărcarea dvs. devine corectă (veți vedea `--dports 31222`), nu uitați să reporniți fail2ban (sau cel puțin închisoarea `sshd`).
0
Răspunde
itarill avatar
drapel vn
itarill
Mulțumesc, acum funcționează corect. A trebuit să-mi curăț mai mult `jail.local` (înainte nu funcționa chiar dacă `dports` se arătau corect deja în dump). Încă un lucru, `action` și `banaction` sunt definite de `jail.conf`. Când l-am înlocuit pe unul dintre ele cu `iptables-ipset-proto6` (după comentariul dvs.), ar face închisoarea inutilă pe toate porturile (inclusiv 22), chiar dacă `fail2ban-client status sshd` a arătat interdicția. Nu pot spune cu adevărat care sunt diferențele dintre ele, unde pot citi pe scurt despre asta? :)
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.