Fail2banログには、「fail2ban.filter:警告DNSルックアップを使用して決定されたIP:..」というエントリが入力されています。

11

私のfail2banログ/var/log/fail2ban.logは、次のようなエントリで完全に満たされています:

fail2ban.filter : WARNING Determined IP using DNS Lookup: [IP address]

私はsshポートを変更した後、これが始まったのではないかと思います...

これの原因は何か、それを止める方法はありますか?

linux  ubuntu  log-files  fail2ban  ip-blocking 
ダーク・キャロウェイ
ソース

回答:

9

同じ問題がありました。

簡単な解決策:/etc/fail2ban/jail.confファイルの上部の[DEFAULT]セクションに次の行を追加します

usedns = no

ログファイルに警告が表示される理由を理解するには、Fail2Ban wikiの次のページを参照してください。基本的に、攻撃IPのPTRレコードを操作して、ログに誤った値を挿入することを防ぐためです。

クックス
ソース
1
これにより、ユーザーがホスト名のオリジンに対してログインを試みると、攻撃の可能性が開かれませんか(この場合、ホスト名は無視されるため)。おそらく私はドキュメントを間違って読んだかもしれませんが、これは悪い考えかもしれません。
クインコメンダント
2
また、ドキュメントによると、解決策はすべてのサービスを設定して逆引きDNSルックアップを行わず、代わりにIPアドレスのみを記録することです。fail2ban(DNS Lookupを使用してIPを決定)によって表示される警告は、一部のサービスがホスト名を記録していることを示しています。最善の解決策は、どのサービスであるかを判別し、そのサービスのDNSルックアップを無効にすることです。設定usedns = noすると警告が停止し、スプーフィングされたPTRネットワークのブロックが防止されますが、ホスト名を記録しているサービスはfail2banによって完全に保護されません。
クインコメンダント
1

[IPアドレス]のPTRレコードを確認し、解決された名前を元のIPアドレスと比較します。つまり、 

drill -x ip_address or dig -x ip_address or host ip_address

次に、結果を次と比較します。

drill result or dig result or host result

同じでなければなりません。そうでない場合-攻撃者はPTRを変更しました。でusednsディレクティブを「no」または「warn」に変更できjail.confます。

プラクシー
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.