Questions tagged «fail2ban»

Fail2ban扫描/ var / log / pwdfail或/ var / log / apache / error_log之类的日志文件,并禁止IP导致太多密码失败。它更新防火墙规则以拒绝IP地址。

11
如何使用Fail2Ban正确取消IP限制
我正在服务器上使用Fail2Ban,并且想知道如何正确取消IP禁播。 我知道我可以直接使用IPTables: iptables -D fail2ban-ssh <number> 但是,有没有办法做到这一点fail2ban-client呢? 在手册它规定是这样的:fail2ban-client get ssh actionunban <IP>。但这是行不通的。 另外,我不想这样做,/etc/init.d/fail2ban restart因为那样会丢失列表中的所有禁令。


6
使用fail2ban重试n次后的永久IP块
我有一个配置如下的fail2ban: 尝试3次失败后阻止ip 300秒超时后释放IP 这非常有效,我想保持这种方式,以便有效用户有机会在超时后重试登录。现在,我要实施一个规则,如果检测到同一IP被攻击并被阻止,则将其取消阻止5次,将永久阻止该IP,再也不会再次阻止。可以仅使用fail2ban来实现,还是需要编写自己的脚本来做到这一点? 我正在使用centos。
38 fail2ban 

7
如何用fail2ban显示所有禁止的ip?
当我运行此命令时,fail2ban-client status sshd我得到了: Status for the jail: sshd |- Filter | |- Currently failed: 1 | |- Total failed: 81 | `- File list: /var/log/auth.log `- Actions |- Currently banned: 2 |- Total banned: 8 `- Banned IP list: 218.65.30.61 116.31.116.7 它仅在禁止IP列表中显示两个IP,而不是像Total Banned所说的那样显示8。 当我这样做时,tail -f /var/log/auth.log我得到了: Mar 29 11:08:40 DBSERVER …
36 fail2ban 

1
Fail2ban jail.local与jail.conf
是否jail.local文件充当覆盖到jail.conf或作为替代,以jail.conf? 当我从教程中学习Fail2Ban时,大多数人通常会说要么将jail.conf复制到jail.local并在那里进行编辑,另一些人却说要创建一个新的jail.local文件并提供许多设置以进行复制并粘贴。但是他们没有解决的是jail.local如何与jail.conf一起工作。这些是两种情况: 覆盖:如果jail.local替代了jail.conf文件,那么我要做的只是将我想覆盖的必要配置添加到jail.conf中提供的默认配置中。在这种情况下,我不需要添加SSH配置等。因为它已经包含在jail.conf中。 替换:如果在存在jail.local时jail.conf变得无效,那么我需要在jail.local中添加所有规则,然后编辑要修改的规则。 当出现jail.local时,您能否确认jail.conf会发生什么?如果jail.local的行为只是jail.conf文件顶部的替代,那么对我来说,只需添加几行要添加的规则就容易了,这也使维护和可读性变得容易。最好的方法是什么?

5
在Fail2Ban中,如何更改SSH端口号?
在我的服务器中,ssh端口不是标准的22。我设置了另一个端口。如果我设置了fail2ban,它将能够检测到该端口吗?我如何告诉它检查该端口而不是端口22? 输出iptables -L -v -n: Chain fail2ban-ssh (1 references) pkts bytes target prot opt in out source destination 0 0 DROP all -- * * 119.235.2.158 0.0.0.0/0 0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 Chain fail2ban-ssh-ddos (0 references) pkts bytes target prot opt in out source destination 服务iptables状态的输出: …
24 ssh  fail2ban 

1
如何设置fail2ban在监狱中读取多日志?
如何为同一规则配置多个日志路径? 我正在尝试编写这样的语法: [apache-w00tw00t] enabled = true filter = apache-w00tw00t action = iptables-allports logpath = /var/log/apache*/*error.log logpath = /var/www/vhosts/site1.com/log/errorlog logpath = /var/www/vhosts/site1.com/subdom/log/errorlog logpath = /var/www/vhosts/site3/log/errorlog logpath = /var/www/vhosts/site4/log/errorlog maxretry = 1 路径都不同,所以我不能使用RE * 将更多日志放入规则的正确语法是什么?

6
共享fail2ban禁止的IP
我在具有公开可见服务的所有服务器上使用了fail2ban,我想知道: 是否有一种简单的方法可以在我控制的主机之间共享禁止的IP? 那里有收集和发布数据的服务吗? 自设置此服务器的第一天以来,我一直在进行无数次登录尝试。
18 fail2ban 

7
Fail2Ban:已经被禁止了吗?
我的Centos服务器上运行了Fail2Ban。(配置如下) 在我的var / log / messages中,我发现了一些很奇怪的东西: Jun 19 12:09:32 localhost fail2ban.actions: INFO [postfix] 114.43.245.205 already banned 我将Fail2Ban配置为将禁用的IP添加到iptables。 我的jail.conf: [postfix] enabled = true filter = postfix action = iptables port = smtp,ssmtp filter = postfix logpath = /var/log/maillog bantime = 43200 maxretry = 2 我的postfix.conf: [INCLUDES] before = common.conf [Definition] failregex …

3
禁止IPv6地址
我目前习惯于使用诸如fail2ban之类的工具,通过禁止IPv4地址来使不需要的流量远离服务器:每个IP的错误日志条目过多,请禁止该IP。 但是,当世界完成向IPv6的迁移时,由于“正常”的僵尸网络计算机或攻击者拥有很多IPv6地址,禁止单一地址可能不再起作用了吗? 如果我想阻止IPv6用户,什么是最好的方法?使用某个IP掩码还是其他? 当您在IPv6内收到多个单个匹配然后禁止整个块时,如何进行“升级启发式”呢? 对我来说,减轻威胁更为重要。如果某些贫穷的真实用户属于具有被阻止IP的同一阻止,那么这些人与其ISP之间的问题就是清除该网络阻止。
16 ipv6  fail2ban 

5
阻止失败的登录尝试是否值得努力
是否值得运行fail2ban,sshdfilter 或类似工具,将哪些尝试登录失败的IP地址列入黑名单? 我已经看到它认为这是“适当安全”服务器上的安全区。但是,我认为这可能会使脚本小子移到列表中的下一个服务器。 假设我的服务器是“适当安全的”,并且我不担心暴力攻击实际上会成功-这些工具是否只是保持日志文件干净,还是我可以从阻止暴力攻击尝试中获得任何有价值的好处? 更新:关于暴力破解密码的很多评论-我确实提到我并不为此担心。也许我应该更具体一些,并问一下fail2ban是否对仅允许基于密钥的ssh登录的服务器有任何好处。
15 security  ssh  fail2ban 

10
停止fail2ban停止/启动通知
如果服务器重新启动,或者即使fail2ban已停止/启动,它也会发送通知。 [asterisk-iptables] enabled = true filter = asterisk action = iptables-allports[name=ASTERISK, protocol=all] sendmail-whois[name=ASTERISK, dest=blah@foo.com, sender=blah@foo.com] logpath = /var/log/asterisk/messages maxretry = 5 bantime = 259200 删除sendmail-whois可以停止它,但是它也可以停止禁令通知,如何开始/停止进程时停止通知我呢? 谢谢
14 fail2ban 

3
如何使用Fail2ban设置对MySQL的监视?
使用MySQL和fail2ban上的搜索引擎搜索Internet会在将fail2ban日志放入MySQL时产生很多结果,但是我想监视失败的MySQL尝试登录并禁止这些IP的尝试。 我的应用程序要求我为MySQL打开一个端口,尽管我已更改默认端口以增强安全性。但是为了获得额外的安全性,我想使用fail2ban监视MySQL日志。 有没有人为MySQL配置fail2ban的快速指南?我已经安装了它,并且可以在其他几个服务上使用,因此您可以跳过安装部分,而直接跳到配置配置文件或任何其他必要的东西。

2
在Amazon EC2上从EPEL安装
我正在尝试在我们的Amazon EC2 Linux AMI(CentOS)上安装fail2ban。我知道fail2ban位于EPEL中,所以我做了以下工作: wget http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm sudo rpm -Uvh epel-release*rpm 但是,当我这样做时,会收到以下消息: package epel-release-6-8.9.amzn1.noarch (which is newer than epel-release-6-8.noarch) is already installed 对我而言,这意味着EPEL已经可用,但如果我这样做: sudo yum install fail2ban 我得到: Loaded plugins: priorities, security, update-motd, upgrade-helper amzn-main | 2.1 kB 00:00 amzn-updates | 2.3 kB 00:00 Setting up Install Process No package fail2ban …

2
Fail2Ban正确尝试禁止IP,但IP不被禁止-iptables链存在但不起作用
在Ubuntu 14.04 Server上运行。 因此,我已正确配置了fail2ban以处理/var/log/auth.logSSH登录尝试。 尝试3次失败后,我会在fail2ban日志中看到以下内容: 2014-11-19 15:22:56,822 fail2ban.actions: WARNING [ssh] Ban BANNED_IP_ADDY iptables -L 显示此链: Chain fail2ban-ssh (1 references) target prot opt source destination REJECT all -- BANNED_IP_ADDY anywhere reject-with icmp-port-unreachable RETURN all -- anywhere anywhere 但是从该IP,我仍然可以通过SSH登录而没有任何问题。 同样的故事适用于我所有的fail2ban监狱。以Apache为例,我可以看到fail2ban正确检测到该日志并声称它禁止了IP。IP最终在iptables链中,但是IP实际上并未被拒绝。 在这些情况下,我的感觉是因为SSH不在标准端口上。它在另一个端口上。 因此,如果我强制ssh jail规则使用新端口: [ssh] enabled = true port = 32323 filter = …

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.