Помогите с fail2ban

0

2

Настраиваю один комп, чтобы к нему можно было подключиться по ssh по ключу. sshd настроил, но из-за своей паранойи хочу чтоб был и fail2ban. Установил fail2ban, скопировал /etc/fail2ban/jail.conf в jail.local, отредактировал как надо, запустил. Создал на другом компе ключ (заведомо неверный), пытался подключиться к 1 компу большее число раз, чем maxretry, но каждый раз реакция одинаковая — «Premission denied (publickey).». Ожидал, что сервер вообще ну будет отвечать после maxretry неправильных попыток.

Дистрибутив — Арч. Раньше с fail2ban не работал.

Ссылка

←	Cisco 800 Dos Atack

Запрос на смену паролей пользователям

→

А ты думаешь почему «fail2ban» называется fail-to-ban? Pun intended. ;)

beastie ★★★★★
(26.06.15 21:24:08 MSK)

Ответ на: комментарий от beastie 26.06.15 21:24:08 MSK

Как я понимаю, бан значит, что сервер не будет отвечать на попытки входа, однако он отвечает.

Klymedy ★★★★★
(26.06.15 21:28:56 MSK) автор топика

Ответ на: комментарий от Klymedy 26.06.15 21:28:56 MSK

А вот и нет, всё потому что он нифига не работет. ;)

Заставть то можно, но это тот ещё уродец.

Hint: он парзит логи. А в стардатной поставке, для ssh ЕМНИП regexp битый. Правь. Но лучше выбросить и не связываться.

beastie ★★★★★
(26.06.15 21:36:08 MSK)
Последнее исправление: beastie 26.06.15 21:36:26 MSK (всего исправлений: 1)

Так а в лог то пишутся неудачные попытки? Попадают под регулярку? Без fail2ban можешь залогиниться? Может ты под рутом пытаешься коннектиться да тебя sshd даже не слушает (ну как пример)?

alozovskoy ★★★★★
(26.06.15 22:37:28 MSK)

Пожалуй выложу лог /var/log/fail2ban.log: http://pastebin.com/MesiX4cX

Klymedy ★★★★★
(26.06.15 22:53:30 MSK) автор топика

Ответ на: комментарий от alozovskoy 26.06.15 22:37:28 MSK

Без fail2ban можешь залогиниться?

Не понял вопрос. С правильным ключом могу залогиниться, без него — нет.

Klymedy ★★★★★
(26.06.15 22:56:18 MSK) автор топика

Ответ на: комментарий от Klymedy 26.06.15 22:56:18 MSK

А, сорри, по диагонали прочитал твой пост.

alozovskoy ★★★★★
(26.06.15 22:58:26 MSK)

Ссылка

Ответ на: комментарий от alozovskoy 26.06.15 22:37:28 MSK

В journalctl есть записи о попытках подключения с компьютера без правильного ключа:

Jun 26 21:11:35 hostname sshd[6325]: Connection closed by 192.168.1.2 [preauth]

Klymedy ★★★★★
(26.06.15 22:59:31 MSK) автор топика

Ответ на: комментарий от Klymedy 26.06.15 22:59:31 MSK

А посмотри в /etc/fail2ban/filter.d/sshd.conf - у себя я не вижу регулярки, под которую подходила бы эта запись.

alozovskoy ★★★★★
(26.06.15 23:46:18 MSK)

Ответ на: комментарий от Klymedy 26.06.15 22:53:30 MSK

Ну вот же он ругаецо:

2015-06-26 20:15:31,410 fail2ban.actions        [5920]: ERROR   Failed to start jail 'ssh-iptables' action 'sendmail-whois': Error starting action
2015-06-26 21:08:42,242 fail2ban.server         [5920]: INFO    Stopping all jails

есть ещё denyhosts подобного толка утилита если чо.

anonymous
(27.06.15 00:34:50 MSK)

Ссылка

Ответ на: комментарий от beastie 26.06.15 21:36:08 MSK

А что взамен ?

Vasily22 ★
(27.06.15 07:11:11 MSK)

Ответ на: комментарий от Vasily22 27.06.15 07:11:11 MSK

ssh на другой порт или забить

smilessss ★★★★★
(27.06.15 07:24:26 MSK)

Ссылка

Ответ на: комментарий от alozovskoy 26.06.15 23:46:18 MSK

^(?P<__prefix>%(__prefix_line)s)Disconnecting: Too many authentication failures for .+? \[preauth\]<SKIPLINES>(?P=__prefix)(?:error: )?Connection closed by <HOST> \[preauth\]$

Это не то?

Klymedy ★★★★★
(27.06.15 10:10:30 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Cisco 800 Dos Atack

Security

Запрос на смену паролей пользователям

→

Похожие темы