LINUX.ORG.RU
ФорумAdmin

fail2ban для ssh не работает? или ЧЯДНТ

 ,


0

1

установил.
подолбился с неверным логином паролем.
добился сообщения
2020-06-03 14:02:58,623 fail2ban.actions [7557]: NOTICE [sshd] 192.168.0.12 already banned

прописал на это же клиенте и этом же ip корректный логин и пароль и...зашёл!

а как он у тебя настроен? может ты его через ipset подключил, а сам ipset например не установлен - тогда не мудрено что нифига в файрвол не добавляется :-)

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

да по дефолту, разрешённых сетей нет,
разделы с ssh:

[sshd]

# To use more aggressive sshd modes set filter parameter "mode" in jail.local:
# normal (default), ddos, extra or aggressive (combines all).
# See "tests/files/logs/sshd" or "filter.d/sshd.conf" for usage example and details.
#mode   = normal
enabled = true
port    = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s


[dropbear]

port     = ssh
logpath  = %(dropbear_log)s
backend  = %(dropbear_backend)s


[selinux-ssh]

port     = ssh
logpath  = %(auditd_log)s

darkenshvein ★★★★★
() автор топика

В iptables действует то правило, которое встречается первым.

targitaj ★★★★★
()
Ответ на: комментарий от darkenshvein

должна быть выставлена такая маска?
action = %(banaction)s[name=%(__name__)s-tcp, port=«%(port)s», protocol=«tcp», chain=«%(chain)s», actname=%(banaction)s-tcp]

darkenshvein ★★★★★
() автор топика
Ответ на: комментарий от darkenshvein

Хз. Может дефолтный action в твоём дистрибутиве только базу ведет забаненных в оперативке да в логи пишет, а по факту ничего не делает?

У меня на рабочем сервере:

/etc/fail2ban/jail.d/sshd.conf: 

[sshd]
enabled  = true
action = iptables-ipset-proto6-allports[name="ssh",bantime=6h]
bantime = 6h

настройки конкретного action смотреть в /etc/fail2ban/action.d

После факапа с авторизацией трижды(дефолт для fail2ban sshd jail-а):

helios ~ # ipset -L f2b-ssh
Name: f2b-ssh
Type: hash:ip
Revision: 4
Header: family inet hashsize 1024 maxelem 65536 timeout 21600
Size in memory: 184
References: 1
Number of entries: 1
Members:
тут_мой_внешний_ip timeout 21576

helios ~ # iptables -vn -L INPUT | head -3
Chain INPUT (policy DROP 796 packets, 58518 bytes)
 pkts bytes target     prot opt in     out     source               destination
   18  3392 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set f2b-ssh src reject-with icmp-port-unreachable

Оба правила добавляет сам fail2ban, так что если ты потом очистишь файрвол, будет ой.

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 2)

Была в свое время статья о настройке сия чуда на интелектуальный бан так сказать. Ошибся 3 раза ушел на n часов, продолжил ошибаться по выходу из бана, счетчик тикает, свалился на сутки и так до пермоментного бана если фейлы продолжаются.

julixs ★★★
()
Ответ на: комментарий от darkenshvein

Нужно посмотреть в iptables на счетчики правил которые добавляет f2b.

Я у себя наблюдал 2 варианта «already banned»

1. когда iptables обновлял правила и не перезапускал f2b

2. на smtp когда внутри одного коннекта была куча режектов, а правила iptables не дропали установленные соединения, только блокировали новые.

vel ★★★★★
()
Ответ на: комментарий от vel

Хм, не знал, как место работы сменил file2ban не щупал, спасибо за инфу, а то полез по старым закладкам статью искать.

julixs ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin