タグ付けされた質問 「fail2ban」

サーバーでFail2Banを使用していますが、IPを適切に禁止解除する方法について疑問に思っています。 IPTablesを直接操作できることは知っています。 iptables -D fail2ban-ssh <number> しかし、それを行う方法はありませんfail2ban-clientか？ マニュアルでは、次のように記載されていますfail2ban-client get ssh actionunban <IP>。しかし、それは機能しません。 また、/etc/init.d/fail2ban restartリスト内のすべての禁止が失われるため、私はしたくありません。

200 firewall  iptables  fail2ban 

LAMPサーバーをセットアップしていますが、SSH / FTP / etcを防ぐ必要があります。成功からのブルートフォースログオン試行。denyhostsとfail2banの両方について多くの推奨事項を見てきましたが、2つの比較はほとんどありません。また、IPTablesルールで同じ機能を満たすことができることも読みました。 なぜこれらの方法の1つを別の方法よりも選択するのですか？serverfaultの人々はこの問題をどのように処理しますか？

62 iptables  brute-force-attacks  fail2ban  denyhosts 

私は次のように構成されたfail2banを持っています： 3回失敗した後にIPをブロックする 300秒のタイムアウト後にIPを解放する これは完全に機能し、有効なユーザーがタイムアウト後にログインを再試行できるように、この方法を維持したいです。ここで、同じIPが攻撃として検出され、ブロックされ、ブロックが5回解除され、IPが永続的にブロックされ、再びブロックされないというルールを実装します。fail2banのみでこれを実現できますか、それを行うために独自のスクリプトを作成する必要がありますか？ 私はこれをcentosで行っています。

38 fail2ban 

このコマンドを実行すると、次のようfail2ban-client status sshdになります。 Status for the jail: sshd |- Filter | |- Currently failed: 1 | |- Total failed: 81 | `- File list: /var/log/auth.log `- Actions |- Currently banned: 2 |- Total banned: 8 `- Banned IP list: 218.65.30.61 116.31.116.7 Total Bannedが言うように、禁止IPリストには8つではなく2つのIPしか表示されません。 私がいる間tail -f /var/log/auth.log、私はこれを得ました： Mar 29 11:08:40 DBSERVER …

36 fail2ban 

jail.localファイルは、jail.confのオーバーライドまたはjail.confの置換として機能しますか？ 私がチュートリアルからFail2Banについて学んでいたとき、それらのほとんどは通常、jail.confをjail.localにコピーしてそこで編集することを言い、一部は新しいjail.localファイルを作成し、コピーする設定の束を与えると言います貼り付けます。しかし、彼らが対処していないのは、jail.localがjail.confとどのように機能するかです。これらは2つのシナリオです。 オーバーライド： jail.localがjail.confファイルのオーバーライドとして機能する場合、必要なのは、jail.confで指定されているデフォルトにオーバーライドする必要な構成を追加することだけです。この場合、SSH configなどを追加する必要はありません。すでにjail.confに含まれているためです。 置換： jail.localが存在するときにjail.confが無効になった場合、jail.localにすべてのルールを追加してから、変更したいルールを編集する必要があります。 jail.localが存在するときにjail.confがどうなるかを確認できますか？jail.localがjail.confファイルの上のオーバーライドのように動作する場合、追加したい数行のルールだけを保持する方が簡単です。これにより、メンテナンスと読みやすさが容易になります。これに対する最善のアプローチは何ですか？

25 iptables  firewall  debian-wheezy  fail2ban  jail 

私のサーバーでは、sshポートは標準22ではありません。別のポートを設定しました。fail2banをセットアップした場合、そのポートを検出できますか？ポート22ではなく、そのポートをチェックするように指示するにはどうすればよいですか？ の出力iptables -L -v -n： Chain fail2ban-ssh (1 references) pkts bytes target prot opt in out source destination 0 0 DROP all -- * * 119.235.2.158 0.0.0.0/0 0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 Chain fail2ban-ssh-ddos (0 references) pkts bytes target prot opt in out source destination サービスiptablesステータスの出力： …

24 ssh  fail2ban 

同じルールに複数のログパスを設定するにはどうすればよいですか？ 私はこのような構文を書き込もうとしています： [apache-w00tw00t] enabled = true filter = apache-w00tw00t action = iptables-allports logpath = /var/log/apache*/*error.log logpath = /var/www/vhosts/site1.com/log/errorlog logpath = /var/www/vhosts/site1.com/subdom/log/errorlog logpath = /var/www/vhosts/site3/log/errorlog logpath = /var/www/vhosts/site4/log/errorlog maxretry = 1 パスはすべて異なるため、RE *は使用できません より多くのログをルールに追加するための正しい構文は何ですか？

20 log-files  fail2ban 

私は一般公開されているサービスを備えたすべてのサーバーでfail2banを使用していますが、 私が管理するホスト間で禁止されたIPを共有する簡単な方法はありますか？ そのデータを収集して公開するサービスはありますか？ このサーバーをセットアップしてから1日目から、無数のログイン試行があります。

18 fail2ban 

CentosサーバーでFail2Banを実行しています。（以下の構成） 私のvar / log / messagesで、本当に奇妙なことに気付きました。 Jun 19 12:09:32 localhost fail2ban.actions: INFO [postfix] 114.43.245.205 already banned 禁止されたIPをiptablesに追加するようにFail2Banを構成しました。 私のjail.conf： [postfix] enabled = true filter = postfix action = iptables port = smtp,ssmtp filter = postfix logpath = /var/log/maillog bantime = 43200 maxretry = 2 私のpostfix.conf： [INCLUDES] before = common.conf [Definition] failregex …

17 iptables  postfix  fail2ban 

現在、fail2banなどのツールを使用して、IPv4アドレスを禁止することにより、不要なトラフィックをサーバーから遠ざけることに慣れています。IPあたりの不正なログエントリが多すぎる、IPを禁止します。 しかし、世界がIPv6への移行を完了すると、「通常の」ボットネットコンピューターまたは攻撃者は非常に多くのIPv6アドレスを所有しているため、単一アドレスの禁止はおそらく機能しなくなります。 IPv6ユーザーをブロックしたい場合、これを達成する最良の方法は何ですか？特定のIPマスクなどを使用しますか？ IPv6内で複数の個別のヒットを取得し、ブロック全体を禁止する場合に「アップリンクヒューリスティック」を実行してはどうですか。 私にとっては、脅威を軽減することがより重要です。ブロックされたIPを持つ同じブロックに属する貧しい本物のユーザーがいる場合、そのネットブロックをクリアすることはそれらの人々とISPの間の問題です。

16 ipv6  fail2ban 

fail2ban、sshdfilter または同様のツールを実行する価値はありますか。ログインしようとするIPアドレスをブラックリストに登録しますか？ これは「適切に保護された」サーバー上のセキュリティシアターであると主張しているのを見てきました。ただし、スクリプトキディがリストの次のサーバーに移動する可能性が高いと思います。 私のサーバーは「適切にセキュリティで保護されている」とし、ブルートフォース攻撃が実際に成功することを心配していません。 更新：パスワードのブルートフォース推測に関する多くのコメント-私はこれについて心配していなかったことに言及しました。おそらく、もっと具体的にして、fail2banがキーベースのsshログインのみを許可するサーバーにメリットがあるかどうかを尋ねるべきだったのでしょう。

14 security  ssh  fail2ban 

サーバーが再起動された場合、またはfail2banが停止/起動された場合でも、通知を送信します。 [asterisk-iptables] enabled = true filter = asterisk action = iptables-allports[name=ASTERISK, protocol=all] sendmail-whois[name=ASTERISK, dest=blah@foo.com, sender=blah@foo.com] logpath = /var/log/asterisk/messages maxretry = 5 bantime = 259200 sendmail-whoisを削除すると停止しますが、禁止通知も停止します。プロセスの開始/停止時に通知を停止するにはどうすればよいですか？ ありがとう

14 fail2ban 

MySQLの検索エンジンとfail2banでインターネットを検索すると、fail2banログをMySQLに入れることで多くの結果が得られますが、失敗したMySQLのログイン試行とそれらのIPの禁止を監視したいと思います。 アプリケーションでは、MySQLのポートを開いたままにしておく必要がありますが、セキュリティを強化するためにデフォルトポートを変更しています。ただし、セキュリティを強化するために、fail2banでMySQLログを監視したいと思います。 MySQLのfail2banを構成するためのクイックガイドはありますか？すでにインストールされており、他のいくつかのサービスで作業しているので、インストール部分をスキップして、構成ファイルの構成またはその他必要なものにすぐにジャンプできます。

13 mysql  security  iptables  fail2ban 

Amazon EC2 Linux AMI（CentOS）にfail2banをインストールしようとしています。fail2banがEPELにあることを知っているので、次のことを行いました。 wget http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm sudo rpm -Uvh epel-release*rpm ただし、それを行うと、次のメッセージが表示されます。 package epel-release-6-8.9.amzn1.noarch (which is newer than epel-release-6-8.noarch) is already installed これはEPELがすでに利用可能であることを意味しますが、もし私がそうするなら： sudo yum install fail2ban 私は得る： Loaded plugins: priorities, security, update-motd, upgrade-helper amzn-main | 2.1 kB 00:00 amzn-updates | 2.3 kB 00:00 Setting up Install Process No package fail2ban …

12 centos  amazon-ec2  fail2ban  epel 

Ubuntu 14.04サーバーで実行中。 したがって/var/log/auth.log、SSHログイン試行を処理するようにfail2banが正しく構成されています。 3回失敗すると、fail2banログに次のように表示されます。 2014-11-19 15:22:56,822 fail2ban.actions: WARNING [ssh] Ban BANNED_IP_ADDY iptables -L このチェーンを示します： Chain fail2ban-ssh (1 references) target prot opt source destination REJECT all -- BANNED_IP_ADDY anywhere reject-with icmp-port-unreachable RETURN all -- anywhere anywhere それでも、そのIPからは問題なくSSH経由でログインできます。 同じ話がすべての私のfail2ban刑務所に当てはまります。たとえば、Apacheは、fail2banがログを正しく検出し、IPを禁止すると主張するのを見ることができます。IPは最終的にiptablesチェーンになりますが、IPは実際には拒否されません。 これらのケースでは、SSHが標準ポート上にないためだと感じています。別のポートにあります。 ssh jailルールに新しいポートを使用するように強制する場合： [ssh] enabled = true port = 32323 filter = sshd …

12 ubuntu  iptables  fail2ban