Skocz do zawartości
rebel.tux

Fail2ban - blokowanie adresów, kłopot z logami.

Polecane posty

Witam, posiadam serwer VPS z zainstalowanym i aktywnym pakietem fail2ban. Poniżej przedstawiam zawartość pliku /etc/fail2ban/jail.d/sshd.local:

[sshd]
enabled = true
port = ssh
#action = firewallcmd-ipset
logpath = %(sshd_log)s
maxretry = 3
bantime = 86400

Ogólnie podczas testowania wszystko działa poprawnie - po 3 nieudanych próbach zalogowania wywala mi ban oraz widzę taki zapis jako wynik polecenia lastb:

root     ssh:notty    128.252.89.81    Sun Jun  5 14:27 - 14:27  (00:00)    
root     ssh:notty    128.252.89.81    Sun Jun  5 14:27 - 14:27  (00:00)    

Czy może mnie ktoś oświecić dlaczego pojawiają się nieudane próby logowania z jednego adresu ip, które przekraczają ilość 2-3 rekordów? Mowa tutaj o takich perełkach:

admin    ssh:notty    91.224.160.10    Sun Jun  5 07:23 - 07:23  (00:00)    
admin    ssh:notty    91.224.160.10    Sun Jun  5 07:23 - 07:23  (00:00)    
admin    ssh:notty    91.224.160.10    Sun Jun  5 07:23 - 07:23  (00:00)    
admin    ssh:notty    91.224.160.10    Sun Jun  5 07:23 - 07:23  (00:00)

Czy to oznacza że fail2ban nie jest skuteczny? Druga sprawa, która bardzo mnie męczy to pytanie dlaczego wynik polecenia lastb zwraca tylko dwa rekordy (podczas mojego błędnego 3x logowania)? Z góry dziękuję za wszystkie odpowiedzi, pozdrawiam!

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Fakt, miałem ustawiony ten parametr na 1 dzień. Tylko dlaczego jak logowałem się błędnie z telefonu (około 3 razy w ciągu 1 minuty) to ban zostawał dodawany z miejsca? Zmieniłem findtime na wartość 60 i teraz mam takie krzaczki:

admin    ssh:notty    203.151.96.79    Mon Jun  6 11:00 - 11:00  (00:00)    
admin    ssh:notty    203.151.96.79    Mon Jun  6 11:00 - 11:00  (00:00)    
admin    ssh:notty    203.151.96.79    Mon Jun  6 11:00 - 11:00  (00:00)    
admin    ssh:notty    203.151.96.79    Mon Jun  6 11:00 - 11:00  (00:00)    
admin    ssh:notty    203.151.96.79    Mon Jun  6 11:00 - 11:00  (00:00)    
admin    ssh:notty    203.151.96.79    Mon Jun  6 11:00 - 11:00  (00:00)    
admin    ssh:notty    203.151.96.79    Mon Jun  6 10:59 - 10:59  (00:00)    
admin    ssh:notty    203.151.96.79    Mon Jun  6 10:59 - 10:59  (00:00)    
admin    ssh:notty    203.151.96.79    Mon Jun  6 10:59 - 10:59  (00:00)    
admin    ssh:notty    203.151.96.79    Mon Jun  6 10:59 - 10:59  (00:00)    
adm      ssh:notty    203.151.96.79    Mon Jun  6 10:59 - 10:59  (00:00)    
adm      ssh:notty    203.151.96.79    Mon Jun  6 10:59 - 10:59  (00:00)    
adm      ssh:notty    203.151.96.79    Mon Jun  6 10:59 - 10:59  (00:00)    
adm      ssh:notty    203.151.96.79    Mon Jun  6 10:59 - 10:59  (00:00)    
account  ssh:notty    203.151.96.79    Mon Jun  6 10:58 - 10:58  (00:00)    
account  ssh:notty    203.151.96.79    Mon Jun  6 10:58 - 10:58  (00:00)    
account  ssh:notty    203.151.96.79    Mon Jun  6 10:58 - 10:58  (00:00)    
aaron    ssh:notty    203.151.96.79    Mon Jun  6 10:58 - 10:58  (00:00)    
aaron    ssh:notty    203.151.96.79    Mon Jun  6 10:58 - 10:58  (00:00)    
Edytowano przez rebel.tux (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

No zmieniłeś na minutę więc masz co 60 sekund.

 

Jak pamiętam to sa zakończone próby logowania więc jak otworzą jednocześnie 5 sesji ssh zanim f2b zacznie działać to tak może log wyglądać.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Czemu taki krótki czas sprawdzania? Ja bym dał conajmniej godzinę.

By jacyś kombinatorzy mieli utrudnione próby. Sam mam jedna próba, 3dni, roczny ban.

Edytowano przez kori (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wielkie dzięki, źle zinterpretowałem parametr findtime - poprawiłem już to oraz zwiększyłem inne wartości. Zastanawia mnie tylko dlaczego w logach nieudanego logowania (przykładowo wynik polecenia lastb) widać tylko dwa rekordy (gdy próby logowania były trzy)?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×