LINUX.ORG.RU

bind настройка fail2ban

 , ,


0

1

Здравствуйте! помогите с вопросом! имеем bind и debain

root@deba:/home/yozz# uname -v
#1 SMP Debian 3.16.7-ckt9-3~deb8u1 (2015-04-24)
root@deba:/home/yozz# lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description:    Debian GNU/Linux 8.0 (jessie)
Release:        8.0
Codename:       jessie
root@deba:/home/yozz# 

при запуске fail2bain

root@deba:/home/yozz# service fail2ban status 
● fail2ban.service - LSB: Start/stop fail2ban
   Loaded: loaded (/etc/init.d/fail2ban)
   Active: active (running) since Пн 2015-06-01 19:40:33 MSK; 20h ago
  Process: 644 ExecStart=/etc/init.d/fail2ban start (code=exited, status=0/SUCCESS)
   CGroup: /system.slice/fail2ban.service
           └─1290 /usr/bin/python /usr/bin/fail2ban-server -b -s /var/run/fail2ban/f...

июн 01 19:40:28 deba fail2ban[644]: Starting authentication failure monitor: fa...''
июн 01 19:40:28 deba fail2ban[644]: WARNING 'ignoreregex' not defined in 'Defin...''
июн 01 19:40:33 deba fail2ban[644]: .
Hint: Some lines were ellipsized, use -l to show in full.


помогите пожалуйста исправить ошибку!!! в /etc/fai2ban/jail.conf есть строки

#[named-refused-tcp]
#
#enabled  = true
#port     = domain,953
#protocol = tcp
#filter   = named-refused
#logpath  = /var/log/named/security.log

[named-refused-udp]

enabled   = true
port      = domain,953
protocol  = udp
filter    = named-refused
action    = iptables-multiport[name=Named, port="domain,953", protocol=udp]
logpath   = /var/log/named/security.log
bantime   = 31536000
maxretry  = 10

##########
######################################





[named-ddos-tcp]
enabled  = true
port     = domain,953
protocol = tcp
filter   = named-ddos
logpath  = /var/log/named/query.log
maxretry = 8

[named-ddos-udp]
enabled  = true
port     = domain,953
protocol = udp
filter   = named-ddos
logpath  = /var/log/named/query.log
maxretry = 8

файл лога присутствует

/var/log/named/security.log

May-2015 21:50:54.715 client 45.101.62.132#38734 (yloj.ml.gg): query (cache) 'yloj.ml.gg/A/IN' denied
29-May-2015 21:50:55.342 client 51.8.82.224#46832 (mjov.ml.gg): query (cache) 'mjov.ml.gg/A/IN' denied
29-May-2015 21:50:55.342 client 58.55.90.144#52478 (qdif.ml.gg): query (cache) 'qdif.ml.gg/A/IN' denied
29-May-2015 21:50:55.352 client 106.143.126.65#20833 (qpufodqnyrqx.ml.gg): query (cache) 'qpufodqnyrqx.ml.gg/A/IN' denied
29-May-2015 21:50:55.353 client 111.15.87.56#13144 (sdufwtuzctif.ml.gg): query (cache) 'sdufwtuzctif.ml.gg/A/IN' denied
29-May-2015 21:50:56.319 client 107.61.188.235#37223 (sr.ml.gg): query (cache) 'sr.ml.gg/A/IN' denied
29-May-2015 21:50:56.323 client 47.91.91.141#47171 (afwtefktmzknyx.ml.gg): query (cache) 'afwtefktmzknyx.ml.gg/A/IN' denied
29-May-2015 21:50:57.724 client 85.33.68.76#60558 (onqpezkrkr.yyy.gg): query (cache) 'onqpezkrkr.yyy.gg/A/IN' denied
29-May-2015 21:50:57.846 client 63.181.133.44#664 (utkpwzoryz.yyy.gg): query (cache) 'utkpwzoryz.yyy.gg/A/IN' denied
29-May-2015 21:50:58.089 client 31.246.38.34#25614 (clwlyjozmz.yyy.gg): query (cache) 'clwlyjozmz.yyy.gg/A/IN' denied
root@deba:/home/yozz# 

полагаю проблема где то тут..



root@deba:/home/yozz# cat /etc/fail2ban/filter.d/named-refused.conf
# Fail2Ban filter file for named (bind9).
#

# This filter blocks attacks against named (bind9) however it requires special
# configuration on bind.
#
# By default, logging is off with bind9 installation.
#
# You will need something like this in your named.conf to provide proper logging.
#
# logging {
#     channel security_file {
#         file "/var/log/named/security.log" versions 3 size 30m;
#         severity dynamic;
#         print-time yes;
#     };
#     category security {
#         security_file;
#     };
# };

[Definition]

# Daemon name
_daemon=named

# Shortcuts for easier comprehension of the failregex

__pid_re=(?:\[\d+\])
__daemon_re=\(?%(_daemon)s(?:\(\S+\))?\)?:?
__daemon_combs_re=(?:%(__pid_re)s?:\s+%(__daemon_re)s|%(__daemon_re)s%(__pid_re)s?:)

#       hostname       daemon_id         spaces
# this can be optional (for instance if we match named native log files)
__line_prefix=(?:\s\S+ %(__daemon_combs_re)s\s+)?

#failregex = ^%(__line_prefix)s(\.\d+)?( error:)?\s*client <HOST>#\S+( \([\S.]+\))?: (view (internal|external): )?query(?: \(cache\))? '.*' denied\s*$
#            ^%(__line_prefix)s(\.\d+)?( error:)?\s*client <HOST>#\S+( \([\S.]+\))?: zone transfer '\S+/AXFR/\w+' denied\s*$
#            ^%(__line_prefix)s(\.\d+)?( error:)?\s*client <HOST>#\S+( \([\S.]+\))?: bad zone transfer request: '\S+/IN': non-authoritative zone \(NOTAUTH\)\s*$

failregex =     ^%(__line_prefix)sclient <HOST>#\S+( \([\S.]+\))?: (view (internal|external): )?query(?: \(cache\))? '.*' denied\s*$
                ^%(__line_prefix)sclient <HOST>#\S+( \([\S.]+\))?: zone transfer '\S+/AXFR/\w+' denied\s*$
                ^%(__line_prefix)sclient <HOST>#\S+( \([\S.]+\))?: bad zone transfer request: '\S+/IN': non-authoritative zone \(NOTAUTH\)\s*$

# DEV Notes:
# Trying to generalize the
#          structure which is general to capture general patterns in log
#          lines to cover different configurations/distributions
#          
# (\.\d+)? is a really ugly catch of the microseconds not captured in the date detector
#
# Author: Yaroslav Halchenko
root@deba:/home/yozz# 


Покажите полный вывод fail2ban, и идеологически правильнее не service, а systemctl:

systemctl -l status fail2ban

mky ★★★★★ ()
Ответ на: комментарий от mky
root@deba:/etc# systemctl -l status fail2ban
● fail2ban.service - LSB: Start/stop fail2ban
   Loaded: loaded (/etc/init.d/fail2ban)
   Active: active (running) since Чт 2015-06-04 13:51:54 MSK; 7s ago
  Process: 6082 ExecStop=/etc/init.d/fail2ban stop (code=exited, status=0/SUCCESS)
  Process: 6090 ExecStart=/etc/init.d/fail2ban start (code=exited, status=0/SUCCESS)
   CGroup: /system.slice/fail2ban.service
           └─6100 /usr/bin/python /usr/bin/fail2ban-server -b -s /var/run/fail2ban/fail2ban.sock -p /var/run/fail2ban/fail2ban.pid

июн 04 13:51:53 deba fail2ban[6082]: Stopping authentication failure monitor: fail2ban.
июн 04 13:51:53 deba fail2ban[6090]: Starting authentication failure monitor: fail2banWARNING 'ignoreregex' not defined in 'Definition'. Using default one: ''
июн 04 13:51:53 deba fail2ban[6090]: WARNING 'ignoreregex' not defined in 'Definition'. Using default one: ''
июн 04 13:51:54 deba fail2ban[6090]: .
root@deba:/etc# 

при том что есть такие секции

[named-refused-udp]

enabled  = true
port     = domain,953
protocol = udp
filter   = named-refused
logpath  = /var/log/named/security.log

[named-refused-tcp]

enabled  = true
port     = domain,953
protocol = tcp
filter   = named-refused
logpath  = /var/log/named/security.log

замечу что дебин и версия fail2bain 0.8.1 кажись.. но не последняя точно.

yoZz ()
Ответ на: комментарий от yoZz

Это не ошибка, а предупреждение, fail2ban должен работать. Нужно в ″/etc/fail2ban/filter.d/named-refused.conf″ добавить строку:

ignoreregex =
по аналогии с ″/etc/fail2ban/filter.d/shrunk-window.conf″.

mky ★★★★★ ()
Ответ на: комментарий от mky

поправил как вы указали.. ничего не происходит...

IN' denied
04-Jun-2015 18:24:01.533 client 39.201.32.152#28202 (ub.www.mgm6688.com): query (cache) 'ub.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:02.030 client 31.23.206.68#2676 (ypufkxef.www.mgm6688.com): query (cache) 'ypufkxef.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:02.104 client 77.121.195.25#23565 (cfinir.www.mgm6688.com): query (cache) 'cfinir.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:02.104 client 109.222.15.70#59650 (wzydct.www.mgm6688.com): query (cache) 'wzydct.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:02.166 client 3.223.173.79#45837 (efsx.www.tyzyz.com): query (cache) 'efsx.www.tyzyz.com/A/IN' denied
04-Jun-2015 18:24:02.314 client 93.212.170.4#25518 (sjcz.www.mgm6688.com): query (cache) 'sjcz.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:02.430 client 40.52.30.189#27941 (enktmnkfafqpch.www.tyzyz.com): query (cache) 'enktmnkfafqpch.www.tyzyz.com/A/IN' denied
04-Jun-2015 18:24:02.686 client 109.220.24.89#61969 (mnmfgtgjcfevkl.www.mgm6688.com): query (cache) 'mnmfgtgjcfevkl.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:02.694 client 121.2.252.53#60475 (ubwfmxabcjajez.www.mgm6688.com): query (cache) 'ubwfmxabcjajez.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:03.075 client 84.166.136.208#12318 (idix.www.mgm6688.com): query (cache) 'idix.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:03.669 client 32.77.229.93#9209 (clejkfmt.www.mgm6688.com): query (cache) 'clejkfmt.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:03.811 client 124.189.44.40#9124 (qlwvijmrmjqh.www.mgm6688.com): query (cache) 'qlwvijmrmjqh.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:03.887 client 118.222.220.126#51260 (ap.www.mgm6688.com): query (cache) 'ap.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:03.888 client 62.205.190.5#14753 (yn.www.mgm6688.com): query (cache) 'yn.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:04.060 client 57.184.253.26#28300 (olyn.www.mgm6688.com): query (cache) 'olyn.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:04.061 client 40.240.114.112#49744 (ovwl.www.mgm6688.com): query (cache) 'ovwl.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:04.899 client 65.252.198.249#18675 (ypqnsjgfyh.www.mgm6688.com): query (cache) 'ypqnsjgfyh.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:04.900 client 74.44.195.161#22011 (ovotkhqdeb.www.mgm6688.com): query (cache) 'ovotkhqdeb.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:04.930 client 122.79.96.170#21322 (cnizkbmj.www.mgm6688.com): query (cache) 'cnizkbmj.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:04.931 client 114.143.5.235#59657 (odclgjct.www.mgm6688.com): query (cache) 'odclgjct.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:05.159 client 4.53.8.93#3783 (ofmxof.www.mgm6688.com): query (cache) 'ofmxof.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:05.159 client 111.131.238.23#51999 (crezcr.www.mgm6688.com): query (cache) 'crezcr.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:05.381 client 114.246.244.210#55488 (itsdczcbihsdoled.www.tyzyz.com): query (cache) 'itsdczcbihsdoled.www.tyzyz.com/A/IN' denied
04-Jun-2015 18:24:05.408 client 85.239.185.222#25534 (chatahszatmjmh.www.mgm6688.com): query (cache) 'chatahszatmjmh.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:05.423 client 38.43.197.109#4037 (mdutsjwhypkpgnsd.3mmn.com): query (cache) 'mdutsjwhypkpgnsd.3mmn.com/A/IN' denied
04-Jun-2015 18:24:05.438 client 35.181.177.57#63139 (ehgjybejqn.www.mgm6688.com): query (cache) 'ehgjybejqn.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:05.438 client 57.157.148.174#1514 (apytkpaber.www.mgm6688.com): query (cache) 'apytkpaber.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:05.657 client 75.27.111.226#1050 (mb.www.mgm6688.com): query (cache) 'mb.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:05.980 client 69.9.163.222#11250 (qzczqlspwvoxkj.www.mgm6688.com): query (cache) 'qzczqlspwvoxkj.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:06.634 client 5.13.12.93#5239 (wzsv.www.mgm6688.com): query (cache) 'wzsv.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:06.636 client 100.55.46.118#62692 (apod.www.mgm6688.com): query (cache) 'apod.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:06.657 client 46.128.146.213#60885 (sj.www.mgm6688.com): query (cache) 'sj.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:07.062 client 41.16.103.211#47091 (ehwdqdcvon.www.mgm6688.com): query (cache) 'ehwdqdcvon.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:07.432 client 118.52.49.239#7257 (ajyhqvirgnypst.www.mgm6688.com): query (cache) 'ajyhqvirgnypst.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:07.654 client 113.65.64.124#8448 (mpafwtwv.www.mgm6688.com): query (cache) 'mpafwtwv.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:07.695 client 74.178.9.46#40082 (snmnwfmhmt.www.mgm6688.com): query (cache) 'snmnwfmhmt.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:07.700 client 91.121.90.249#4077 (qdwbkbexilcx.www.mgm6688.com): query (cache) 'qdwbkbexilcx.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:07.786 client 91.88.238.65#41715 (mbkrqjevgz.www.mgm6688.com): query (cache) 'mbkrqjevgz.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:08.083 client 91.125.161.194#22206 (ibuhkvcjqdgtszgn.www.mgm6688.com): query (cache) 'ibuhkvcjqdgtszgn.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:08.179 client 1.4.167.227#42987 (ulmlwnwpwr.www.mgm6688.com): query (cache) 'ulmlwnwpwr.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:09.258 client 113.123.19.38#62492 (unoh.www.mgm6688.com): query (cache) 'unoh.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:09.298 client 118.200.220.137#51227 (ebehmx.www.mgm6688.com): query (cache) 'ebehmx.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:09.418 client 73.90.237.206#32388 (oputmt.www.mgm6688.com): query (cache) 'oputmt.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:09.418 client 63.35.9.33#34151 (uzalsz.www.mgm6688.com): query (cache) 'uzalsz.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:09.585 client 8.133.107.234#31476 (kd.www.mgm6688.com): query (cache) 'kd.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:09.989 client 109.249.114.77#19521 (ur.www.mgm6688.com): query (cache) 'ur.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:10.217 client 29.158.116.27#44375 (mj.www.mgm6688.com): query (cache) 'mj.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:10.365 client 8.197.160.225#45163 (anyjmh.www.mgm6688.com): query (cache) 'anyjmh.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:10.505 client 75.121.180.104#18780 (epcrqpepghstkj.www.mgm6688.com): query (cache) 'epcrqpepghstkj.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:10.505 client 98.204.212.67#38877 (mpejudqhmluzsl.www.mgm6688.com): query (cache) 'mpejudqhmluzsl.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:10.594 client 67.65.40.55#44217 (md.www.mgm6688.com): query (cache) 'md.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:10.594 client 35.71.199.251#3211 (ah.www.mgm6688.com): query (cache) 'ah.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:10.869 client 15.150.176.92#52616 (yhcbebevyn.www.mgm6688.com): query (cache) 'yhcbebevyn.www.mgm6688.com/A/IN' denied
04-Jun-2015 18:24:10.870 client 88.91.64.88#61198 (sdmzwzcfgj.www.mgm6688.com): query (cache) 'sdmzwzcfgj.www.mgm6688.com/A/IN' denied
^C
root@deba:/etc# tail -f /var/log/fail2ban.log 
2015-06-04 18:22:36,573 fail2ban.jail   [16799]: INFO    Jail 'apache-noscript' started
2015-06-04 18:22:36,588 fail2ban.jail   [16799]: INFO    Jail 'apache-overflows' started
2015-06-04 18:22:36,608 fail2ban.jail   [16799]: INFO    Jail 'apache-modsecurity' started
2015-06-04 18:22:36,630 fail2ban.jail   [16799]: INFO    Jail 'apache-nohome' started
2015-06-04 18:22:36,658 fail2ban.jail   [16799]: INFO    Jail 'named-refused-udp' started
2015-06-04 18:22:36,689 fail2ban.jail   [16799]: INFO    Jail 'named-refused-tcp' started
2015-06-04 18:22:36,704 fail2ban.jail   [16799]: INFO    Jail 'named-ddos-tcp' started
2015-06-04 18:22:36,773 fail2ban.jail   [16799]: INFO    Jail 'named-ddos-udp' started
2015-06-04 18:22:36,784 fail2ban.jail   [16799]: INFO    Jail 'shrunk-window' started
2015-06-04 18:22:38,864 fail2ban.actions[16799]: WARNING [shrunk-window] Ban 206.123.249.115

yoZz ()
Ответ на: комментарий от yoZz

короче навертел так что теперь файл секурити пустой всегда (((( переустановка бинда с нуля не помогает, смена каталога тоже . права такие. остальные файлы номально создаются..

root@deba:/var/log/named# ls -la
итого 436
drwxr-x---  2 bind bind   4096 июн  4 23:47 .
drwxr-xr-x 14 root root   4096 июн  4 23:53 ..
-rw-r--r--  1 bind bind      0 июн  4 23:30 client.log
-rw-r--r--  1 bind bind      0 июн  4 23:30 config.log
-rw-r--r--  1 bind bind      0 июн  4 23:30 database.log
-rw-r--r--  1 bind bind      0 июн  4 23:30 default.log
-rw-r--r--  1 bind bind      0 июн  4 23:30 dispatch.log
-rw-r--r--  1 bind bind      0 июн  4 23:30 dnssec.log
-rw-r--r--  1 bind bind   7263 июн  4 23:54 general.log
-rw-r--r--  1 bind bind  14444 июн  4 23:54 lame-servers.log
-rw-r--r--  1 bind bind    810 июн  4 23:54 network.log
-rw-r--r--  1 bind bind   3360 июн  4 23:54 notify.log
-rw-r--r--  1 bind bind  17680 июн  4 23:35 queries.log
-rw-r--r--  1 bind bind 372371 июн  4 23:54 query.log
-rw-r--r--  1 bind bind   8080 июн  4 23:54 resolver.log
-rw-r--r--  1 bind bind      0 июн  4 23:30 security.log
-rw-r--r--  1 bind bind      0 июн  4 23:30 unmatched.log
-rw-r--r--  1 bind bind      0 июн  4 23:30 update.log
-rw-r--r--  1 bind bind      0 июн  4 23:30 xfer-in.log
-rw-r--r--  1 bind bind      0 июн  4 23:30 xfer-out.log
root@deba:/var/log/named# 

ваще ума не приложу!! в чем пробблема (????? версии testing и stable. по факту два бинда на 2 серваках. зато джайлы стал подгружать )

yoZz ()
Ответ на: комментарий от yoZz

А что должно происходить? fail2ban-regex показывает сработки для /var/log/named/security.log?

в чем пробблема

По bind'у создавайте отдельную тему, bind отдельно, fail2ban отдельно. Но, замечу, что при удалении пакета его конфиги могут остаться, поэтому устанавливая пакет заново, вы не вылечите кривой конфиг.

зато джайлы стал подгружать )

bind стал подгружать джайлы?

mky ★★★★★ ()
Ответ на: комментарий от mky

непонимаю как можно поделить неделимое темы???.. может потестить ?? попросить что бы ктото по ддосил??? дело в том что я на микротике наблюдаю ничтожное количество пакетов... те. нету лавинообразного обращения..а про конфиги. я их вычищаль вместе с каталогами

yoZz ()
Ответ на: комментарий от yoZz

заработало.... само ) траффика небыло..

а вот и результат:


root@deba:/var/log/named# fail2ban-regex /var/log/named/security.log /etc/fail2ban/filter.d/named-refused.conf 

Running tests
=============

Use   failregex file : /etc/fail2ban/filter.d/named-refused.conf
Use         log file : /var/log/named/security.log
Use         encoding : UTF-8


Results
=======

Failregex: 0 total

Ignoreregex: 0 total

Date template hits:
|- [# of hits] date format
|  [18633] Day(?P<_sep>[-/])MON(?P=_sep)Year[ :]?24hour:Minute:Second(?:\.Microseconds)?(?: Zone offset)?
`-

Lines: 18633 lines, 0 ignored, 0 matched, 18633 missed [processed in 2.94 sec]
Missed line(s): too many to print.  Use --print-all-missed to print all 18633 lines
root@deba:/var/log/named# 

yoZz ()
Ответ на: комментарий от anonymous

ага, есть вот гуру.... но он куда то пропал. помог в одном вопросе уже. Этот бы еще закрыть так вообще цены ему не было бы.

yoZz ()
Ответ на: комментарий от yoZz

ребята помогите пожалуйста запустить fail2ban совместно с bind???

yoZz ()
Ответ на: комментарий от yoZz

Ну я на эту фразу среагировал:

заработало.... само ) траффика небыло..

и решил, что всё нормально. А, оказывается, заработало только логирование в /var/log/named/security.log. Сейчас ещё подумаю, почему regexp не даёт срабатываний.

mky ★★★★★ ()
Ответ на: комментарий от mky

Не разобрался до конца, но у меня получилось, что формат времени ″Day-Month-Year Hour:Minute:Second[.Millisecond]″ fail2ban понимает не правильно, он, почему-то предаёт милисекунды в проверку регулярным выражением.

У Bind не настраивается формат времени, в котором он пишет лог, поэтом, возможны такие варианы:

1. Сделать логирование bind'ом не напрямую в файл, а через syslog — милисекунд не будет.

2. Поправить регулярное выражение, точнее просто достаточно разкомментировать первый failregex в named-refused.conf, а второй закомментировать. Ну понятно, что правильнее не редактировать .conf-файл, а скопировать его в .local-файл и редактировать его, но об этом и так везде написано.

mky ★★★★★ ()
Ответ на: комментарий от mky

Спасибо за вашу акивность) но

[Definition]

# Daemon name
_daemon=named

# Shortcuts for easier comprehension of the failregex

__pid_re=(?:\[\d+\])
__daemon_re=\(?%(_daemon)s(?:\(\S+\))?\)?:?
__daemon_combs_re=(?:%(__pid_re)s?:\s+%(__daemon_re)s|%(__daemon_re)s%(__pid_re)s?:)

#       hostname       daemon_id         spaces
# this can be optional (for instance if we match named native log files)
__line_prefix=(?:\s\S+ %(__daemon_combs_re)s\s+)?



failregex = ^%(__line_prefix)s(\.\d+)?( error:)?\s*client <HOST>#\S+( \([\S.]+\))?: (view (internal|external): )?query(?: \(cache\))? '.*' denied\s*$
            ^%(__line_prefix)s(\.\d+)?( error:)?\s*client <HOST>#\S+( \([\S.]+\))?: zone transfer '\S+/AXFR/\w+' denied\s*$
            ^%(__line_prefix)s(\.\d+)?( error:)?\s*client <HOST>#\S+( \([\S.]+\))?: bad zone transfer request: '\S+/IN': non-authoritative zone \(NOTAUTH\)\s*$

#failregex = ^%(__line_prefix)s(\.\d+)?( error:)?\s*client <HOST>#\S+( \([\S.]+\))?: (view (internal|external): )?query(?: \(cache\))? '.*' denied\s*$
#            ^%(__line_prefix)s(\.\d+)?( error:)?\s*client <HOST>#\S+( \([\S.]+\))?: zone transfer '\S+/AXFR/\w+' denied\s*$
#            ^%(__line_prefix)s(\.\d+)?( error:)?\s*client <HOST>#\S+( \([\S.]+\))?: bad zone transfer request: '\S+/IN': non-authoritative zone \(NOTAUTH\)\s*$

ignoreregex =


# DEV Notes:
# Trying to generalize the
#          structure which is general to capture general patterns in log
#          lines to cover different configurations/distributions
#          
# (\.\d+)? is a really ugly catch of the microseconds not captured in the date detector
#
# Author: Yaroslav Halchenko
root@deba:/home/yozz# 

root@deba:/home/yozz# tail -f /var/log/fail2ban.log
2015-06-11 12:37:53,931 fail2ban.jail   [32559]: INFO    Jail 'wordpress' started
2015-06-11 12:37:53,947 fail2ban.jail   [32559]: INFO    Jail 'shrunk-window' started
2015-06-11 12:43:18,403 fail2ban.actions[32559]: WARNING [shrunk-window] Ban 206.123.249.115
2015-06-11 14:19:59,216 fail2ban.actions[32559]: WARNING [shrunk-window] Unban 206.123.249.115
2015-06-11 14:26:50,759 fail2ban.actions[32559]: WARNING [shrunk-window] Ban 206.123.249.115
2015-06-11 16:03:31,674 fail2ban.actions[32559]: WARNING [shrunk-window] Unban 206.123.249.115
2015-06-11 16:04:30,022 fail2ban.actions[32559]: WARNING [shrunk-window] Ban 206.123.249.115
2015-06-11 17:41:10,876 fail2ban.actions[32559]: WARNING [shrunk-window] Unban 206.123.249.115
2015-06-11 17:50:03,589 fail2ban.actions[32559]: WARNING [shrunk-window] Ban 206.123.249.115
2015-06-11 19:26:44,615 fail2ban.actions[32559]: WARNING [shrunk-window] Unban 206.123.249.115
^C

не привело вообще ни к какому эффекту в логах фалтубана при том что в секурити нормально так накакано. огласите весь список пожалуйста что и как делали?

yoZz ()
Ответ на: комментарий от mky

Running tests =============

Use failregex file : /etc/fail2ban/filter.d/named-refused.conf Use log file : /var/log/named/security.log Use encoding : UTF-8

Results =======

Failregex: 0 total

Ignoreregex: 0 total

Date template hits:
|- [# of hits] date format
|  [30654] Day(?P<_sep>[-/])MON(?P=_sep)Year[ :]?24hour:Minute:Second(?:\.Microseconds)?(?: Zone offset)?
`-

Lines: 30654 lines, 0 ignored, 0 matched, 30654 missed [processed in 6.32 sec]
Missed line(s): too many to print.  Use --print-all-missed to print all 30654 lines
root@deba:/home/yozz# 

yoZz ()
Ответ на: комментарий от yoZz

Попробуйте такое:

failregex = .*client <HOST>#\S+ .* query .* denied

Если на этом fail2ban-regex даст срабатывания (matched), то напишу упрощенный regex для ″zone transfer″. Исправлять «фирменный» failregex от авторов fail2ban у меня желания нет.

mky ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.