Поставьте DenyHosts Logger в цепочку Fail2ban-ssh tcp -- 0 multiport dports 22 - Администрирование серверов

проблемы fail2ban debian5

Logger · 2011-01-27T12:36:44.0000000Z

решит поставить от брутеров(километровые логи)(сервер железный с ispmanager lite). выполнил apt-get install fail2ban -ничего сложного. ssh перевесил на нестандартый порт (предположим 2345) [ssh] enabled = true port = ssh вроде бы он должен сам порт определить. Пока больше ничего не включал.лог: 2011-01-25 16:32:19,730 fail2ban.filter : INFO Set maxRetry = 6 2011-01-25 16:32:19,732 fail2ban.filter : INFO Set findtime = 600 2011-01-25 16:32:19,733 fail2ban.actions: INFO Set banTime = 86400 2011-01-25 16:32:19,741 fail2ban.jail : INFO Creating new jail 'ssh' 2011-01-25 16:32:19,741 fail2ban.jail : INFO Jail 'ssh' uses poller 2011-01-25 16:32:19,742 fail2ban.filter : INFO Added logfile = /var/log/auth.log 2011-01-25 16:32:19,903 fail2ban.jail : INFO Jail 'ssh' started решил опробовать бан - ввел 6 раз неправильно пароль и решил обратно подконнектится - лог: 2011-01-25 17:30:22,116 fail2ban.actions: WARNING [ssh] Ban 217.118.90.160 2011-01-25 17:31:06,136 fail2ban.actions: WARNING [ssh] 217.118.90.160 already banned пишет что ip забанила и дает еще раз конектится на ssh на этот ip - вроде бы раз забанила должна уже не давать? опять 6 раз ввел неправильно - пишет что ip уже в бане. А ведь должно вообще не давать этому ip коннетится к ssh. никак не пойму в чем дело. бан стоял на сутки (сервер физически перезагружался)и вот что пишет : 2011-01-26 19:30:22,136 fail2ban.actions: WARNING [ssh] Unban 217.118.90.160 2011-01-26 19:30:22,140 fail2ban.actions.action: ERROR iptables -n -L INPUT | grep -q fail2ban-ssh returned 100 2011-01-26 19:30:22,140 fail2ban.actions.action: ERROR Invariant check failed. Trying to restore a sane environment 2011-01-26 19:30:22,160 fail2ban.actions.action: ERROR iptables -D INPUT -p tcp -m multiport --dports ssh -j fail2ban-ssh iptables -F fail2ban-ssh iptables -X fail2ban-ssh returned 100 2011-01-26 19:30:22,201 fail2ban.actions.action: ERROR iptables -D fail2ban-ssh -s 217.118.90.160 -j DROP returned 100 вот это я в конфиге не включал [pam-generic] enabled = false # pam-generic filter can be customized to monitor specific subset of 'tty's filter = pam-generic # port actually must be irrelevant but lets leave it all for some possible uses port = all banaction = iptables-allports port = anyport logpath = /var/log/auth.log maxretry = 6 пробовал для интереса у себя на компе с windows - поднял виртуальную машину debian - на нем банит и не дает подключаться повторно. ладно бы это был vps на openvz - а тут физический сервер.

L

132

Logger

27 января 2011, 16:01

#11

перезапускал каждый раз, и в правилах он слушает мой левый порт ssh 1234

Контакты-icq 535609 ()

M

235

madoff

27 января 2011, 16:07

#12

Logger:
перезапускал каждый раз, и в правилах он слушает мой левый порт ssh 1234

Тогда обратитесь к специалистам, и они вам сделают как надо.

Администратор Linux,Freebsd. построения крупных проектов.

169

Pavel.Odintsov

27 января 2011, 23:20

#13

Может быть, еще вот в этом проблема: http://phpsuxx.blogspot.com/2010/02/fail2ban.html

Решение по обнаружению DDoS атак для хостинг компаний, дата центров и операторов связи: FastNetMon (https://fastnetmon.com)

111

Zaqwr

28 января 2011, 05:36

#14

поменяйте в iptables в цепочке

fail2ban-ssh tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22

порт 22 на необходимый вам

Logger:
перезапускал каждый раз, и в правилах он слушает мой левый порт ssh 1234

может вы sshd перезагружали а не fail2ban ? fail2ban ничего не слушает

Администрирование, Linux, Cisco, Juniper

L

132

Logger

28 января 2011, 07:38

#15

Zaqwr:

может вы sshd перезагружали а не fail2ban ? fail2ban ничего не слушает

все делал , попробовал на домашнем компе в виртуалке - fail2ban работает на ssh на нестандартном порту. видимо на реальном серваке дело не файлбане - а что то не дает ему банить ssh.

pkts bytes target prot opt in out source destination
76 3336 fail2ban-proftpd tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 21,20,990,989
48 3272 fail2ban-ssh tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22,1234
157K 27M ISPMGR all -- * * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 93243 packets, 323M bytes)
pkts bytes target prot opt in out source destination
93243 323M ISPMGR all -- * * 0.0.0.0/0 0.0.0.0/0

Chain ISPMGR (2 references)
pkts bytes target prot opt in out source destination
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306 reject-with icmp-port-unreachable

Chain fail2ban-proftpd (1 references)
pkts bytes target prot opt in out source destination
10 438 DROP all -- * * 178.204.128.169 0.0.0.0/0
66 2898 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0

Chain fail2ban-ssh (1 references)
pkts bytes target prot opt in out source destination
48 3272 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0

247

Raistlin

28 января 2011, 08:09

#16

поставьте DenyHosts?

HostAce - Асы в своем деле (http://hostace.ru)

111

Zaqwr

28 января 2011, 14:22

#17

Logger, смотрите логи fail2ban , там будут ответы

[Удален]

28 января 2011, 23:32

#18

Все что необходимо то в /etc/services ssh присвоить ваш порт 2345

L

132

Logger

30 января 2011, 04:44

#19

EvroHoster, спасибо! в /etc/services забыл прописать! а потом надо перезапустить services или iptables, чтобы все заработало? какие команды надо выполнить для debian?

[Удален]

30 января 2011, 10:22

#20

Logger:
EvroHoster, спасибо! в /etc/services забыл прописать! а потом надо перезапустить services или iptables, чтобы все заработало? какие команды надо выполнить для debian?

Прописываю в services порт, запускаю fail2ban и больше ничего. Пока не было случаев чтобы не работало, использовал на 11 серверах уже.

Что делать, если ваша email-рассылка попала в спам

В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи

проблемы fail2ban debian5