LINUX.ORG.RU
решено ФорумAdmin

Не могу понять лог fail2ban

 


0

3

В пустой системе запущен fail2ban и sshd. Через некоторое время fail2ban срабатывает. При этом в логе secure появляются записи о попытке авторизации:

[root@testhost /]# grep 'Jun 27 04:16' /var/log/secure
Jun 27 04:16:20 testhost sshd[1100]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.87.109.253  user=root
Jun 27 04:16:22 testhost sshd[1100]: Failed password for root from 218.87.109.253 port 42015 ssh2
Jun 27 04:16:27 testhost sshd[1100]: Failed password for root from 218.87.109.253 port 42015 ssh2
Jun 27 04:16:33 testhost sshd[1100]: Failed password for root from 218.87.109.253 port 42015 ssh2
Jun 27 04:16:33 testhost sshd[1101]: Received disconnect from 218.87.109.253: 11: 
Jun 27 04:16:33 testhost sshd[1100]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.87.109.253  user=root
[root@testhost /]# 

Одновременно с этим в логе fail2ban появляется довольно много записей на первый взгляд не относящихся к этому событию:

(слегка сокращённый фрагмент)

[root@testhost ~]# grep 'Jun 27 04:16' /var/log/messages | uniq -c
         14 Jun 27 04:16:13 testhost fail2ban.filter[1086]: WARNING Determined IP using DNS Lookup: u18590357.onlinehome-server.com = ['74.208.72.132']
          1 Jun 27 04:16:18 testhost fail2ban.filter[1086]: WARNING Determined IP using DNS Lookup: epsilon.ip-colo.net = ['195.3.144.85']
         14 Jun 27 04:16:23 testhost fail2ban.filter[1086]: WARNING Determined IP using DNS Lookup: u18590357.onlinehome-server.com = ['74.208.72.132']
         14 Jun 27 04:16:31 testhost fail2ban.filter[1086]: WARNING Determined IP using DNS Lookup: u18590357.onlinehome-server.com = ['74.208.72.132']
         14 Jun 27 04:16:44 testhost fail2ban.filter[1086]: WARNING Determined IP using DNS Lookup: u18590357.onlinehome-server.com = ['74.208.72.132']
         44 Jun 27 04:16:49 testhost fail2ban.filter[1086]: INFO [sshd] Found 218.87.109.253
          1 Jun 27 04:16:49 testhost fail2ban.actions[1086]: NOTICE [sshd] Ban 218.87.109.253
[root@testhost ~]#

То есть, fail2ban резолвит некие IP адреса. Мне не совсем понятно зачем он это делает и откуда он их берёт. Если это по делу то почему бы их не забанить заодно, если ни о чём то зачем он этим занимается? Вызывает сомнение то, что события идут почти одновременно.

★★★★★

Для отключения резолвинга можно в конфиг jail'ов добавить usedns = no, но откуда эти адреса угадать не могу.

alozovskoy ★★★★★ ()
Ответ на: комментарий от alozovskoy

Забыл добавить что все настройки fail2ban по умолчанию, единственное что включено - ssh:

[root@testhost /]# cat /etc/fail2ban/jail.local 

[sshd]
enabled  = true
[root@testhost /]# cat /etc/redhat-release 
CentOS release 6.8 (Final)
[root@testhost /]# rpm -q fail2ban
fail2ban-0.9.3-1.el6.1.noarch
[root@testhost /]# 

sin_a ★★★★★ ()
Ответ на: комментарий от alozovskoy

Больше интересует не факт резолвинга. В конце концов если ему от этого легче жить то пусть этим занимается. Интересуют адреса, вернее их источник.

Пока есть впечатление что это происходит после старта. Подожду, будут ли появляться такие сообщение далее.

sin_a ★★★★★ ()

Молодцы китайцы, брутят все подряд. Отключите логин под root и сделайте нестандартный порт на sshd.

xkool ()
Ответ на: комментарий от alozovskoy

В общем, такое впечатление что этими адресами он проверяет работу резолвинга. Хотя в его файлах вроде они не встречаются. Похоже появляется только при старте, при появлении jail.

sin_a ★★★★★ ()
Ответ на: комментарий от sin_a

Грепни по ним во всем /var/log, моет в каком-то логе оказались да подтягиваются при перезапуске. Вообще регистрант чуть выше прав скорее всего, просто китайцы сканируют порты.

alozovskoy ★★★★★ ()
Ответ на: комментарий от alozovskoy

Да, действительно в начале /var/log/secure присутствуют. А он при старте видимо перечитывает весь лог. Остаётся непонятно, почему он их резолвит а последующие нет. Но это уже в общем неважно.

sin_a ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.