タグ付けされた質問 「fail2ban」

私のfail2banログ/var/log/fail2ban.logは、次のようなエントリで完全に満たされています： fail2ban.filter : WARNING Determined IP using DNS Lookup: [IP address] 私はsshポートを変更した後、これが始まったのではないかと思います... これの原因は何か、それを止める方法はありますか？

11 linux  ubuntu  log-files  fail2ban  ip-blocking 

毎回Fail2Banを再起動せずにIPアドレスのブロックを解除しようとしていますが、これを行う最善の方法は何ですか？または、有用なガイドの方向を教えていただけますか？ 以下に示すように、削除しようとしているIPアドレスは89.31.259.161です。 # iptables -L -n Chain INPUT (policy DROP) target prot opt source destination fail2ban-apache-badbots tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 fail2ban-httpd tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 fail2ban-sasl tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 25,465,143,220,993,110,995 fail2ban-SSH tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 fail2ban-httpd tcp -- 0.0.0.0/0 0.0.0.0/0 …

11 iptables  fail2ban 

SSHにログインするときにキー認証を使用するのか、単にfail2ban + ssh（rootログインが無効）を使用するのかは疑問です。 fail2banは安全ですか？それとも、sshに接続する必要のあるすべてのクライアントマシンでキーを生成して設定するだけで本当に良いですか？

11 ssh  fail2ban 

Linuxサーバーのセキュリティ、特にブルートフォース攻撃とfail2banとカスタムiptablesの使用に関するコミュニティの頭脳を取り上げたいと思います。 似たような質問がいくつかありますが、どれも私の満足するトピックには対応していません。手短に言えば、ブルートフォース攻撃からインターネットに公開されているLinuxサーバー（通常のサービス、ssh、web、メールを実行している）を保護するための最良のソリューションを決定しようとしています。 私はサーバーのセキュリティにまともなハンドルを持っています。つまり、ルートまたはパスワードのログインを許可しない、デフォルトのポートを変更する、ソフトウェアが最新であることを確認する、ログファイルをチェックする、特定のホストのみがサーバーにアクセスできるようにすることでsshをロックし、セキュリティを利用する一般的なセキュリティコンプライアンスのためのLynis（https://cisofy.com/lynis/）などの監査ツールなので、入力やアドバイスはいつでも歓迎しますが、この質問は必ずしもそれに関するものではありません。 私の質問は、どのソリューションを使用するか（fail2banまたはiptables）、それをどのように構成するか、または両方の組み合わせを使用してブルートフォース攻撃から保護するかです。 トピックに関して興味深い応答があります（Denyhosts対fail2ban対iptables-ブルートフォースログオンを防止する最善の方法？）。私個人にとって最も興味深い答えは（https://serverfault.com/a/128964）であり、ログファイルを解析するためにユーザーモードツールを使用するfail2banとは対照的に、iptablesルーティングはカーネルで発生します。Fail2banはもちろんiptablesを使用しますが、アクションを実行するまで、ログファイルを解析してパターンを照合する必要があります。 次に、iptablesを使用し、レート制限（https://www.rackaid.com/blog/how-to-block-ssh-brute-force-attacks/）を使用してIPからのリクエストを一定期間ドロップすることは理にかなっていますか接続しようとしていたプロトコルに関係なく、特定の期間中に接続試行が多すぎる時間の割合 もしそうなら、ここでそれらのパケットにドロップと拒否を使用することについていくつかの興味深い考えがあります（http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject）、それについての考えはありますか？ Fail2banでは、デフォルトの構成では対応できない可能性のあるサービスのカスタム「ルール」を記述できる形式でカスタム構成が可能です。インストールと設定は簡単で強力ですが、xの量を超えてサービス/プロトコルで2回失敗した場合、サーバーからIP を「ブロック」するだけで済むとしたら、やりすぎかもしれません。時間の？ ここでの目標は、毎日のログウォッチレポートを開くことであり、サーバーへの接続に失敗したページをスクロールする必要はありません。 お時間をいただきありがとうございます。

10 ssh  security  iptables  fail2ban  brute-force-attacks 

私の管理下にあるサーバーにDebianによってパッケージ化されたfail2banをインストールしました。以前からいくつかのfailregexeがあるので、それらもローカルフィルター定義ファイルに入れて、それらも考慮されるようにします。したがって、たとえば/etc/fail2ban/filter.d/sshd.confや/etc/fail2ban/filter.d/sshd.localなどになります。これは、セットアップすることをお勧めする方法であり、それが何であるかについて問題なく機能しているように見えます。 ただし、.localファイルでは、実際に.confファイルのfailregexeのリスト全体を置き換えています。ドキュメントにはそれを行う他の方法があることは示されていないようで、それを機能させるために、ディストリビューションで提供された.confファイルを.localファイルにコピーし、いくつかの追加を行いました。 ディストリビューションで管理されているログエントリフィルターの正規表現への変更に遅れをとらないようにするアップストリームとDebianのメンテナの仕事の恩恵を受けて、リストを単純に修正できたら本当に素晴らしいです。 私が考えることができる唯一の本当の回避策は、実際に2つのjailを作成することです。1つはディストリビューション提供の構成を使用し、もう1つは自分のjailを使用します。これには、独立した刑務所として扱われる（かなり重要な）欠点があるように思われます（このような設定では予想されます）。 確かに、メンテナンスの手間を最小限に抑えながら、既存のコレクションに自分のいくつかのfailregexeを追加したいのは私だけではありません。 対応するグローバルファイルまたは配布提供ファイルに変更を加えずに、サイトローカルファイルまたはホストローカルファイルを使用して、fail2banフィルター定義内のfailregexおよびignoreregexのリストを修正することは可能ですか？もしそうなら、それを行う方法は？

10 debian  fail2ban 

sshパスワードのブルートフォース攻撃を禁止するためにfail2banをインストールしました。このマシンでパスワード認証を無効にしないためのビジネス要件があります。 fail2banは、他のマシンへのssh攻撃を効果的に禁止する同じシェフクックブックを使用してインストールされました。ssh jailが設定されています： # service fail2ban status fail2ban-server (pid 5480) is running... WARNING 'pidfile' not defined in 'Definition'. Using default one: '/var/run/fail2ban/fail2ban.pid' Status |- Number of jail: 1 `- Jail list: ssh ユーザーを手動で禁止することは機能します： # fail2ban-client set ssh banip 103.41.124.46 しかし、誰も自動的に禁止したようには見えません： # cat /var/log/fail2ban.log 2014-11-20 18:23:47,069 fail2ban.server [67569]: INFO Exiting Fail2ban …

10 ssh  security  firewall  fail2ban 

を使用した過度の失敗したphpMyAdminログイン試行をブロックするための探求でfail2ban、失敗した試行をファイルに記録するスクリプトを作成しました。/var/log/phpmyadmin_auth.log カスタムログ /var/log/phpmyadmin_auth.logファイルの形式は次のとおりです。 phpMyadmin login failed with username: root; ip: 192.168.1.50; url: http://somedomain.com/phpmyadmin/index.php phpMyadmin login failed with username: ; ip: 192.168.1.50; url: http://192.168.1.48/phpmyadmin/index.php カスタムフィルター [Definition] # Count all bans in the logfile failregex = phpMyadmin login failed with username: .*; ip: <HOST>; phpMyAdmin刑務所 [phpmyadmin] enabled = true port = http,https …

9 security  configuration  fail2ban 

fail2banを設定しましたが、メールの送信をテストしたいと思います。たとえば、fail2banが開始または停止したときにメールを受け取るようにしたいと思います。

9 fail2ban 

取得している悪意のあるトラフィックの特定のパターンを監視し、関連付けられているIPアドレスを禁止するようにfail2banを構成しました。 すべてがうまく機能しているようです-正規表現はパターンに適切に一致しており、問題のあるIPアドレスがiptablesに追加されています。 ただし、Apacheのログを確認すると、禁止されているIPアドレスからのヒットがまだあります。iptablesがまったく実行されていないようです。 したがって、すべてが正しく構成されていることを確認するために、いくつかの詳細を共有します。 まず、iptablesルールをクリアしてリロードします。 $ sudo iptables -F $ cat /etc/iptables.firewall.rules *filter # Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0 -A INPUT -i lo -j ACCEPT -A INPUT -d 127.0.0.0/8 -j REJECT # Accept all established inbound connections -A INPUT -m …

9 ubuntu  iptables  fail2ban 

fail2banは引き続きローテーションされたログファイルを監視しますか？ たとえば、システムが毎週（7日間）自動的にローテーションする/var/log/fail2ban.logを監視するルールがあります。そのログで禁止されたIPを監視して、過去10日間に5回禁止された繰り返しの違反者を見つけるルールを設定したいと思います。それは可能ですか？

9 logrotate  fail2ban 

現在、ルートを使用してすべてのsshログインをブロックしています。しかし、私はさらに一歩進んで、rootとしてログインしようとしたクライアントのIPアドレスをブロックしたいと思いました。現在、denyhostsとfail2banをセットアップして機能していますが、denyhostsとfail2banを使用して、rootとしてログインしようとするユーザーのIPアドレスをブロックできますか？

8 security  ubuntu-10.04  fail2ban  denyhosts