fail2ban mister!
Totul pare să funcționeze și bine configurat, dar serverul încă primește încercări de conectare.
[moso@matrix ~]$ sudo systemctl status fail2ban
â fail2ban.service - Serviciu Fail2Ban
Încărcat: încărcat (/usr/lib/systemd/system/fail2ban.service; activat; prestabilit furnizor: dezactivat)
Activ: activ (în rulare) din sâmb. 2022-04-16 22:10:45 -03; acum 13 ore
Documente: man:fail2ban(1)
Proces: 332 ExecStartPre=/bin/mkdir -p /run/fail2ban (cod=exit, status=0/SUCCESS)
PID principal: 335 (fail2ban-server)
Sarcini: 5 (limită: 19183)
Memorie: 17,9 M
CPU: 1 min 945 ms
CGroup: /system.slice/fail2ban.service
ââ335 /usr/bin/python /usr/bin/fail2ban-server -xf start
16 aprilie 22:10:45 matrix systemd[1]: Se pornește serviciul Fail2Ban...
16 aprilie 22:10:45 matrix systemd[1]: Serviciul Fail2Ban a pornit.
16 aprilie 22:10:45 matrix fail2ban-server[335]: Server gata
[moso@matrix ~]$ sudo cat /etc/fail2ban/jail.d/sshd.local
[sshd]
activat = adevărat
filtru = sshd
banaction = iptables
backend = systemd
maxretry = 3
timp de găsire = 1d
bantime = 2w
ignoreip = 127.0.0.1/8 x1.y1.z1.w1/32 x2.y2.z2.w2/32
[moso@matrix ~]$ sudo fail2ban-client status sshd
Starea închisorii: sshd
|- Filtru
| |- Momentan eșuat: 1
| |- Total eșuat: 10
| `- Jurnal potriviri: _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Acțiuni
|- Interzis în prezent: 1
|- Total interzise: 1
`- Lista IP interzisă: 179.43.156.154
[moso@matrix ~]$ sudo iptables -L -n | grep 179.43.156.154
REJECT all -- 179.43.156.154 0.0.0.0/0 reject-with icmp-port-unreachable
[moso@matrix ~]$ sudo cat /var/log/fail2ban.log
2022-04-16 22:10:45,655 fail2ban.server [335]: INFORMAȚII Pornirea Fail2ban v0.11.2
2022-04-16 22:10:45,657 fail2ban.observer [335]: INFO Observer începe...
2022-04-16 22:10:45,667 fail2ban.database [335]: INFO Conectat la baza de date persistentă fail2ban „/var/lib/fail2ban/fail2ban.sqlite3”
2022-04-16 22:10:45,670 fail2ban.database [335]: AVERTISMENT Nouă bază de date creată. Versiunea „4”
2022-04-16 22:10:45,670 fail2ban.jail [335]: INFORMAȚII Se creează o nouă închisoare „sshd”
2022-04-16 22:10:45,706 fail2ban.jail [335]: INFORMAȚII Jail „sshd” folosește systemd {}
2022-04-16 22:10:45,706 fail2ban.jail [335]: INFO Backend „systemd” inițiat
2022-04-16 22:10:45,707 fail2ban.filter [335]: INFO maxLines: 1
2022-04-16 22:10:45,723 fail2ban.filtersystemd [335]: INFO [sshd] S-a adăugat potrivirea jurnalului pentru: '_SYSTEMD_UNIT=sshd.service + _COMM=sshd'
2022-04-16 22:10:45,723 fail2ban.filter [335]: INFO maxRetry: 3
2022-04-16 22:10:45,723 fail2ban.filter [335]: INFO găsire: 86400
2022-04-16 22:10:45,724 fail2ban.actions [335]: INFO banTime: 1209600
2022-04-16 22:10:45,724 fail2ban.filter [335]: codificare INFORMAȚII: UTF-8
2022-04-16 22:10:45,725 fail2ban.jail [335]: INFO închisoare „sshd” a început
2022-04-16 22:53:09,239 fail2ban.filter [335]: INFO [sshd] Găsit 179.43.156.154 - 2022-04-16 22:53:08
2022-04-17 00:33:22,995 fail2ban.filter [335]: INFO [sshd] Găsit 179.43.156.154 - 2022-04-17 00:33:22
2022-04-17 01:31:38,980 fail2ban.filter [335]: INFO [sshd] Găsit 179.43.156.154 - 2022-04-17 01:31:38
2022-04-17 01:31:39,266 fail2ban.actions [335]: NOTIFICARE [sshd] Ban 179.43.156.154
2022-04-17 02:58:45,765 fail2ban.filter [335]: INFO [sshd] Găsit 179.43.156.154 - 2022-04-17 02:58:45
2022-04-17 05:40:59,243 fail2ban.filter [335]: INFO [sshd] Găsit 179.43.156.154 - 2022-04-17 05:40:58
2022-04-17 07:13:51,766 fail2ban.filter [335]: INFO [sshd] Găsit 179.43.156.154 - 2022-04-17 07:13:51
2022-04-17 07:13:52,130 fail2ban.actions [335]: AVERTISMENT [sshd] 179.43.156.154 deja interzis
2022-04-17 07:49:33,667 fail2ban.filter [335]: INFO [sshd] Găsit 179.43.156.154 - 2022-04-17 07:49:33
2022-04-17 08:20:44,205 fail2ban.filter [335]: INFO [sshd] Găsit 179.43.156.154 - 2022-04-17 08:20:44
2022-04-17 08:44:07,980 fail2ban.filter [335]: INFO [sshd] Găsit 179.43.156.154 - 2022-04-17 08:44:07
2022-04-17 08:44:08,129 fail2ban.actions [335]: AVERTISMENT [sshd] 179.43.156.154 deja interzis
2022-04-17 09:44:54,464 fail2ban.filter [335]: INFO [sshd] Găsit 179.43.156.154 - 2022-04-17 09:44:54
...
[moso@matrix ~]$ journalctl _SYSTEMD_UNIT=sshd.service
Apr 16 22:10:15 matrix sshd[151093]: Semnal primit 15; terminand.
-- Boot aa222dfff23f467ab30cd5125c7c3a55 --
16 aprilie 22:10:45 matrix sshd[333]: Serverul ascultă pe portul 0.0.0.0 2206.
Apr 16 22:53:08 matrix sshd[656]: Conexiune de la 179.43.156.154 portul 40138 pe 38.105.209.109 portul 2206 rdomain ""
16 aprilie 22:53:08 matrix sshd[656]: rădăcină utilizator nevalidă de la portul 40138 179.43.156.154
16 aprilie 22:53:08 matrix sshd[656]: conexiune închisă de rădăcină utilizator nevalidă 179.43.156.154 portul 40138 [preauth]
Apr 17 00:33:22 matrix sshd[685]: Conexiune de la 179.43.156.154 portul 34498 pe 38.105.209.109 portul 2206 rdomain ""
17 aprilie 00:33:22 matrix sshd[685]: rădăcină rădăcină utilizator nevalidă de la portul 179.43.156.154 34498
17 aprilie 00:33:22 matrix sshd[685]: conexiune închisă de rădăcină utilizator nevalidă rădăcină 179.43.156.154 portul 34498 [preauth]
Apr 17 01:31:38 matrix sshd[699]: Conexiune de la 179.43.156.154 portul 59372 pe 38.105.209.109 portul 2206 rdomain ""
17 aprilie 01:31:38 matrix sshd[699]: rădăcină rădăcină utilizator nevalidă de la portul 179.43.156.154 59372
17 aprilie 01:31:38 matrix sshd[699]: conexiune închisă de rădăcină utilizator nevalidă 179.43.156.154 portul 59372 [preauth]
Apr 17 02:58:44 matrix sshd[722]: Conexiune de la 179.43.156.154 portul 57448 pe 38.105.209.109 portul 2206 rdomain ""
17 aprilie 02:58:45 matrix sshd[722]: rădăcină rădăcină utilizator nevalidă de la portul 179.43.156.154 57448
17 aprilie 02:58:45 matrix sshd[722]: conexiune închisă de rădăcină utilizator nevalidă 179.43.156.154 portul 57448 [preauth]
Apr 17 05:40:58 matrix sshd[760]: Conexiune de la 179.43.156.154 portul 54992 pe 38.105.209.109 portul 2206 rdomain ""
17 aprilie 05:40:58 matrix sshd[760]: rădăcină rădăcină utilizator nevalidă de la portul 179.43.156.154 54992
17 aprilie 05:40:58 matrix sshd[760]: Conexiune închisă de rădăcină utilizator nevalidă 179.43.156.154 portul 54992 [preauth]
Apr 17 07:13:51 matrix sshd[777]: Conexiune de la 179.43.156.154 portul 59646 pe 38.105.209.109 portul 2206 rdomain ""
17 aprilie 07:13:51 matrix sshd[777]: rădăcină rădăcină utilizator nevalidă de la portul 179.43.156.154 59646
17 aprilie 07:13:51 matrix sshd[777]: Conexiune închisă de rădăcină utilizator nevalidă 179.43.156.154 portul 59646 [preauth]
Apr 17 07:49:33 matrix sshd[789]: Conexiune de la 179.43.156.154 portul 33684 pe 38.105.209.109 portul 2206 rdomain ""
17 aprilie 07:49:33 matrix sshd[789]: rădăcină rădăcină utilizator nevalidă de la portul 179.43.156.154 33684
17 aprilie 07:49:33 matrix sshd[789]: conexiune închisă de rădăcină utilizator nevalidă 179.43.156.154 portul 33684 [preauth]
Apr 17 08:20:43 matrix sshd[801]: Conexiune de la 179.43.156.154 portul 55522 pe 38.105.209.109 portul 2206 rdomain ""
17 aprilie 08:20:44 matrix sshd[801]: rădăcină rădăcină utilizator nevalidă de la portul 179.43.156.154 55522
17 aprilie 08:20:44 matrix sshd[801]: Conexiune închisă de rădăcină utilizator nevalidă 179.43.156.154 portul 55522 [preauth]
Apr 17 08:44:07 matrix sshd[805]: Conexiune de la 179.43.156.154 portul 39862 pe 38.105.209.109 portul 2206 rdomain ""
17 aprilie 08:44:07 matrix sshd[805]: rădăcină utilizator nevalidă de la portul 39862 179.43.156.154
17 aprilie 08:44:07 matrix sshd[805]: conexiune închisă de rădăcină utilizator nevalidă 179.43.156.154 portul 39862 [preauth]
Apr 17 09:44:54 matrix sshd[822]: Conexiune de la 179.43.156.154 portul 42592 pe 38.105.209.109 portul 2206 rdomain ""
17 aprilie 09:44:54 matrix sshd[822]: rădăcină rădăcină utilizator nevalidă de la portul 179.43.156.154 42592
17 aprilie 09:44:54 matrix sshd[822]: conexiune închisă de rădăcină utilizator nevalidă 179.43.156.154 portul 42592 [preauth]
...
De ce IP-ul 179.43.156.154 continuă să încerce să se conecteze dacă fail2ban pare să funcționeze ȘI orice conexiune de la 179.43.156.154 ar trebui respinsă? (vezi ieșirea iptables mai sus)
