- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
решит поставить от брутеров(километровые логи)(сервер железный с ispmanager lite). выполнил apt-get install fail2ban -ничего сложного.
ssh перевесил на нестандартый порт (предположим 2345)
enabled = true
port = ssh
вроде бы он должен сам порт определить. Пока больше ничего не включал.лог:
2011-01-25 16:32:19,732 fail2ban.filter : INFO Set findtime = 600
2011-01-25 16:32:19,733 fail2ban.actions: INFO Set banTime = 86400
2011-01-25 16:32:19,741 fail2ban.jail : INFO Creating new jail 'ssh'
2011-01-25 16:32:19,741 fail2ban.jail : INFO Jail 'ssh' uses poller
2011-01-25 16:32:19,742 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2011-01-25 16:32:19,903 fail2ban.jail : INFO Jail 'ssh' started
решил опробовать бан - ввел 6 раз неправильно пароль и решил обратно подконнектится - лог:
2011-01-25 17:31:06,136 fail2ban.actions: WARNING [ssh] 217.118.90.160 already banned
пишет что ip забанила и дает еще раз конектится на ssh на этот ip - вроде бы раз забанила должна
уже не давать? опять 6 раз ввел неправильно - пишет что ip уже в бане. А ведь должно вообще не давать этому ip коннетится к ssh. никак не пойму в чем дело.
бан стоял на сутки (сервер физически перезагружался)и вот что пишет :
2011-01-26 19:30:22,140 fail2ban.actions.action: ERROR iptables -n -L INPUT | grep -q fail2ban-ssh returned 100
2011-01-26 19:30:22,140 fail2ban.actions.action: ERROR Invariant check failed. Trying to restore a sane environment
2011-01-26 19:30:22,160 fail2ban.actions.action: ERROR iptables -D INPUT -p tcp -m multiport --dports ssh -j fail2ban-ssh
iptables -F fail2ban-ssh
iptables -X fail2ban-ssh returned 100
2011-01-26 19:30:22,201 fail2ban.actions.action: ERROR iptables -D fail2ban-ssh -s 217.118.90.160 -j DROP returned 100
вот это я в конфиге не включал
enabled = false
# pam-generic filter can be customized to monitor specific subset of 'tty's
filter = pam-generic
# port actually must be irrelevant but lets leave it all for some possible uses
port = all
banaction = iptables-allports
port = anyport
logpath = /var/log/auth.log
maxretry = 6
пробовал для интереса у себя на компе с windows - поднял виртуальную машину debian - на нем банит и не дает подключаться повторно. ладно бы это был vps на openvz - а тут физический сервер.
покажите вывод iptables -L -nv при этом вы должны быть забанены.
enabled = false - логическое нет, true - да, у вас один конфиг выклчён, другой "кусок конфига" включенно, не понятно.
покажите вывод iptables -L -nv при этом вы должны быть забанены.
вот что выдало - повторил опыт - ввел неправильно 6 раз пароль - в логах бана нет. фалбан пишет что на порту 22 в iptables. а уменя ssh на левом порту. что ему вручную указывать порт ?
0 0 fail2ban-ssh-ddos tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22
0 0 fail2ban-ssh tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22
0 0 fail2ban-proftpd tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 21,20,990,989
79986 12M fail2ban-pam-generic tcp -- * * 0.0.0.0/0 0.0.0.0/0
6179K 938M ISPMGR all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 4109K packets, 13G bytes)
pkts bytes target prot opt in out source destination
4109K 13G ISPMGR all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ISPMGR (2 references)
pkts bytes target prot opt in out source destination
Chain fail2ban-pam-generic (1 references)
pkts bytes target prot opt in out source destination
79986 12M RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Chain fail2ban-proftpd (1 references)
pkts bytes target prot opt in out source destination
0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Chain fail2ban-ssh (1 references)
pkts bytes target prot opt in out source destination
0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Chain fail2ban-ssh-ddos (1 references)
pkts bytes target prot opt in out source destination
0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
при этом вы должны быть забанены.
при этом вы должны быть забанены.
да я понимаю я должен быть забанен после установки этой проги :).
но я опять могу коннектится с этого ip и подбирать пароли. в лог файлбана щас не написано что забанило.
надо "enabled = true" что бы было, а не false
да все у меня включено..... попробовал по ftp подбирать - реально забанило ip и не дает больше коннетится. поскольку ssh на нестандартном порту - указал его вручную в jail.conf port = 1234 - на выводе iptables -L -nv его слушает - но не банит. что посоветуете ? где то еще port надо править ..... не банит ssh на нестандартном порту (хоть убейся)...:) - ftp банит без проблем.
ssh у Вас публичный сервис?
если нет - перенесите его на нестандартный порт (man sshd_config) и забудьте про всякие недобанилки.
Если я правильно пронял, то что вы написали в первом посту:
[ssh]
enabled = true
port = ssh
вроде бы он должен сам порт определить.
нет не должен fail2ban сам все определять, если вы изменили стандартный порт для ssh, то соответственно измените его и в конфиге fail2ban
указывал в jail.conf как port = 1234 и как port = ssh,1234 и еще менял в /etc/fail2ban/action.d/ в каких файлах нашел port = ssh - как port = 1234 и как port = ssh,1234 - пока ничего не добился :)
а не пробовали просто открыть fail2ban.conf дописать в конец:
enabled = true
port = 1234
logfile = /var/log/auth.log
после этого перезапустить fail2ban, посмотреть что он прописал в правила iptables:
iptables -L -nv