Questions tagged «fail2ban»

我正在服务器上使用Fail2Ban，并且想知道如何正确取消IP禁播。 我知道我可以直接使用IPTables： iptables -D fail2ban-ssh <number> 但是，有没有办法做到这一点fail2ban-client呢？ 在手册它规定是这样的：fail2ban-client get ssh actionunban <IP>。但这是行不通的。 另外，我不想这样做，/etc/init.d/fail2ban restart因为那样会丢失列表中的所有禁令。

200 firewall  iptables  fail2ban 

我正在设置LAMP服务器，需要防止SSH / FTP / etc。成功进行暴力登录尝试。我已经看到了很多有关denyhosts和fail2ban的建议，但是两者的比较却很少。我还读到IPTables规则可以填充相同的功能。 为什么我要选择其中一种方法而不是另一种方法？serverfault上的人员如何处理此问题？

62 iptables  brute-force-attacks  fail2ban  denyhosts 

我有一个配置如下的fail2ban： 尝试3次失败后阻止ip 300秒超时后释放IP 这非常有效，我想保持这种方式，以便有效用户有机会在超时后重试登录。现在，我要实施一个规则，如果检测到同一IP被攻击并被阻止，则将其取消阻止5次，将永久阻止该IP，再也不会再次阻止。可以仅使用fail2ban来实现，还是需要编写自己的脚本来做到这一点？ 我正在使用centos。

38 fail2ban 

当我运行此命令时，fail2ban-client status sshd我得到了： Status for the jail: sshd |- Filter | |- Currently failed: 1 | |- Total failed: 81 | `- File list: /var/log/auth.log `- Actions |- Currently banned: 2 |- Total banned: 8 `- Banned IP list: 218.65.30.61 116.31.116.7 它仅在禁止IP列表中显示两个IP，而不是像Total Banned所说的那样显示8。 当我这样做时，tail -f /var/log/auth.log我得到了： Mar 29 11:08:40 DBSERVER …

36 fail2ban 

是否jail.local文件充当覆盖到jail.conf或作为替代，以jail.conf？ 当我从教程中学习Fail2Ban时，大多数人通常会说要么将jail.conf复制到jail.local并在那里进行编辑，另一些人却说要创建一个新的jail.local文件并提供许多设置以进行复制并粘贴。但是他们没有解决的是jail.local如何与jail.conf一起工作。这些是两种情况： 覆盖：如果jail.local替代了jail.conf文件，那么我要做的只是将我想覆盖的必要配置添加到jail.conf中提供的默认配置中。在这种情况下，我不需要添加SSH配置等。因为它已经包含在jail.conf中。 替换：如果在存在jail.local时jail.conf变得无效，那么我需要在jail.local中添加所有规则，然后编辑要修改的规则。 当出现jail.local时，您能否确认jail.conf会发生什么？如果jail.local的行为只是jail.conf文件顶部的替代，那么对我来说，只需添加几行要添加的规则就容易了，这也使维护和可读性变得容易。最好的方法是什么？

25 iptables  firewall  debian-wheezy  fail2ban  jail 

在我的服务器中，ssh端口不是标准的22。我设置了另一个端口。如果我设置了fail2ban，它将能够检测到该端口吗？我如何告诉它检查该端口而不是端口22？ 输出iptables -L -v -n： Chain fail2ban-ssh (1 references) pkts bytes target prot opt in out source destination 0 0 DROP all -- * * 119.235.2.158 0.0.0.0/0 0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 Chain fail2ban-ssh-ddos (0 references) pkts bytes target prot opt in out source destination 服务iptables状态的输出： …

24 ssh  fail2ban 

如何为同一规则配置多个日志路径？ 我正在尝试编写这样的语法： [apache-w00tw00t] enabled = true filter = apache-w00tw00t action = iptables-allports logpath = /var/log/apache*/*error.log logpath = /var/www/vhosts/site1.com/log/errorlog logpath = /var/www/vhosts/site1.com/subdom/log/errorlog logpath = /var/www/vhosts/site3/log/errorlog logpath = /var/www/vhosts/site4/log/errorlog maxretry = 1 路径都不同，所以我不能使用RE * 将更多日志放入规则的正确语法是什么？

20 log-files  fail2ban 

我在具有公开可见服务的所有服务器上使用了fail2ban，我想知道： 是否有一种简单的方法可以在我控制的主机之间共享禁止的IP？ 那里有收集和发布数据的服务吗？ 自设置此服务器的第一天以来，我一直在进行无数次登录尝试。

18 fail2ban 

我的Centos服务器上运行了Fail2Ban。（配置如下） 在我的var / log / messages中，我发现了一些很奇怪的东西： Jun 19 12:09:32 localhost fail2ban.actions: INFO [postfix] 114.43.245.205 already banned 我将Fail2Ban配置为将禁用的IP添加到iptables。 我的jail.conf： [postfix] enabled = true filter = postfix action = iptables port = smtp,ssmtp filter = postfix logpath = /var/log/maillog bantime = 43200 maxretry = 2 我的postfix.conf： [INCLUDES] before = common.conf [Definition] failregex …

17 iptables  postfix  fail2ban 

我目前习惯于使用诸如fail2ban之类的工具，通过禁止IPv4地址来使不需要的流量远离服务器：每个IP的错误日志条目过多，请禁止该IP。 但是，当世界完成向IPv6的迁移时，由于“正常”的僵尸网络计算机或攻击者拥有很多IPv6地址，禁止单一地址可能不再起作用了吗？ 如果我想阻止IPv6用户，什么是最好的方法？使用某个IP掩码还是其他？ 当您在IPv6内收到多个单个匹配然后禁止整个块时，如何进行“升级启发式”呢？ 对我来说，减轻威胁更为重要。如果某些贫穷的真实用户属于具有被阻止IP的同一阻止，那么这些人与其ISP之间的问题就是清除该网络阻止。

16 ipv6  fail2ban 

是否值得运行fail2ban，sshdfilter 或类似工具，将哪些尝试登录失败的IP地址列入黑名单？ 我已经看到它认为这是“适当安全”服务器上的安全区。但是，我认为这可能会使脚本小子移到列表中的下一个服务器。 假设我的服务器是“适当安全的”，并且我不担心暴力攻击实际上会成功-这些工具是否只是保持日志文件干净，还是我可以从阻止暴力攻击尝试中获得任何有价值的好处？ 更新：关于暴力破解密码的很多评论-我确实提到我并不为此担心。也许我应该更具体一些，并问一下fail2ban是否对仅允许基于密钥的ssh登录的服务器有任何好处。

15 security  ssh  fail2ban 

如果服务器重新启动，或者即使fail2ban已停止/启动，它也会发送通知。 [asterisk-iptables] enabled = true filter = asterisk action = iptables-allports[name=ASTERISK, protocol=all] sendmail-whois[name=ASTERISK, dest=blah@foo.com, sender=blah@foo.com] logpath = /var/log/asterisk/messages maxretry = 5 bantime = 259200 删除sendmail-whois可以停止它，但是它也可以停止禁令通知，如何开始/停止进程时停止通知我呢？ 谢谢

14 fail2ban 

使用MySQL和fail2ban上的搜索引擎搜索Internet会在将fail2ban日志放入MySQL时产生很多结果，但是我想监视失败的MySQL尝试登录并禁止这些IP的尝试。 我的应用程序要求我为MySQL打开一个端口，尽管我已更改默认端口以增强安全性。但是为了获得额外的安全性，我想使用fail2ban监视MySQL日志。 有没有人为MySQL配置fail2ban的快速指南？我已经安装了它，并且可以在其他几个服务上使用，因此您可以跳过安装部分，而直接跳到配置配置文件或任何其他必要的东西。

13 mysql  security  iptables  fail2ban 

我正在尝试在我们的Amazon EC2 Linux AMI（CentOS）上安装fail2ban。我知道fail2ban位于EPEL中，所以我做了以下工作： wget http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm sudo rpm -Uvh epel-release*rpm 但是，当我这样做时，会收到以下消息： package epel-release-6-8.9.amzn1.noarch (which is newer than epel-release-6-8.noarch) is already installed 对我而言，这意味着EPEL已经可用，但如果我这样做： sudo yum install fail2ban 我得到： Loaded plugins: priorities, security, update-motd, upgrade-helper amzn-main | 2.1 kB 00:00 amzn-updates | 2.3 kB 00:00 Setting up Install Process No package fail2ban …

12 centos  amazon-ec2  fail2ban  epel 

在Ubuntu 14.04 Server上运行。 因此，我已正确配置了fail2ban以处理/var/log/auth.logSSH登录尝试。 尝试3次失败后，我会在fail2ban日志中看到以下内容： 2014-11-19 15:22:56,822 fail2ban.actions: WARNING [ssh] Ban BANNED_IP_ADDY iptables -L 显示此链： Chain fail2ban-ssh (1 references) target prot opt source destination REJECT all -- BANNED_IP_ADDY anywhere reject-with icmp-port-unreachable RETURN all -- anywhere anywhere 但是从该IP，我仍然可以通过SSH登录而没有任何问题。 同样的故事适用于我所有的fail2ban监狱。以Apache为例，我可以看到fail2ban正确检测到该日志并声称它禁止了IP。IP最终在iptables链中，但是IP实际上并未被拒绝。 在这些情况下，我的感觉是因为SSH不在标准端口上。它在另一个端口上。 因此，如果我强制ssh jail规则使用新端口： [ssh] enabled = true port = 32323 filter = …

12 ubuntu  iptables  fail2ban