Questions tagged «fail2ban»

我的fail2ban日志/var/log/fail2ban.log完全填满了说的条目： fail2ban.filter : WARNING Determined IP using DNS Lookup: [IP address] 我认为这可能是在我更改了ssh端口后开始的... 知道这是什么原因以及如何阻止它吗？

12 linux  ubuntu  log-files  fail2ban  ip-blocking 

我试图取消阻止IP地址而不每次都重新启动Fail2Ban，这样做的最佳方法是什么？还是可以向我指出有用的指南？ 如您所见，我要删除的IP地址是：89.31.259.161 # iptables -L -n Chain INPUT (policy DROP) target prot opt source destination fail2ban-apache-badbots tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 fail2ban-httpd tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 fail2ban-sasl tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 25,465,143,220,993,110,995 fail2ban-SSH tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 fail2ban-httpd tcp -- 0.0.0.0/0 0.0.0.0/0 …

11 iptables  fail2ban 

我不确定是否应该在登录SSH时使用密钥身份验证，还是只使用fail2ban + ssh（禁用root登录）。 fail2ban是安全的吗？还是继续进行并生成所有需要连接到ssh的客户端计算机上的密钥和配置，真的更好吗？

11 ssh  fail2ban 

我想引起社区对linux服务器安全性的关注，特别是关于蛮力攻击以及使用fail2ban与自定义iptables。 那里也有一些类似的问题，但是没有一个问题令我满意。简而言之，我正在尝试确定最佳的解决方案，以保护免受互联网攻击的Linux服务器（运行常规服务，ssh，web，邮件）免受暴力攻击。 我对服务器安全性有很好的了解，即通过不允许root用户或密码登录，更改默认端口，确保软件为最新版本，检查日志文件，仅允许某些主机访问服务器并利用安全性来锁定ssh审核工具，例如Lynis（https://cisofy.com/lynis/），用于一般安全合规性，因此尽管总是欢迎您提供意见和建议，但这个问题不一定要与之相关。 我的问题是我应该使用哪种解决方案（fail2ban或iptables），应该如何配置它，还是应该结合使用两者来防止暴力攻击？ 关于该主题有一个有趣的响应（Denyhosts vs fail2ban vs iptables-防止暴力登录的最佳方法？）。就我个人而言，最有趣的答案是（https://serverfault.com/a/128964），并且iptables路由发生在内核中，而不是使用用户模式工具来解析日志文件的fail2ban。Fail2ban当然使用iptables，但是它仍然必须解析日志文件并匹配模式，直到执行操作为止。 那么使用iptables和使用速率限制（https://www.rackaid.com/blog/how-to-block-ssh-brute-force-attacks/）来丢弃来自IP的请求一段时间是否有意义在特定时间段内进行过多连接尝试的时间（无论它尝试连接到哪种协议）？如果是这样，那么对于此处的那些数据包使用丢弃与拒绝有一些有趣的想法（http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject），对此有什么想法吗？ Fail2ban允许以能够为默认配置中可能未解决的服务编写自定义“ 规则 ” 的形式进行自定义配置。它易于安装和设置并且功能强大，但是如果我要实现的全部目的是“ 阻止 ”服务器的IP（如果他们对某项服务/协议进行了两次失败的访问尝试，且访问次数超过x的数量，那么这可能是一个过大的杀伤力）时间？ 此处的目标是打开每日日志监视报告，而不必滚动浏览尝试与服务器建立连接失败的页面。 感谢您抽出宝贵的时间。

10 ssh  security  iptables  fail2ban  brute-force-attacks 

我已经在我控制的服务器上安装了Debian打包的fail2ban。由于我以前有一些failregexes，因此将它们放到本地过滤器定义文件中，以便也将它们考虑在内。因此，我最终遇到了/etc/fail2ban/filter.d/sshd.conf和/etc/fail2ban/filter.d/sshd.local。建议您以这种方式进行设置，并且看起来确实可以正常工作。 但是，在.local文件中，实际上是从.conf文件中替换了failregexes的整个列表。该文档似乎没有表明还有其他方法可以使用，为了使它正常工作，我只是将发行版本提供的.conf文件复制到.local文件中，并做了一些补充。 如果我可以简单地修改列表，并受益于上游和Debian维护者的工作，以便及时了解分发维护的日志条目过滤器正则表达式的更改，那将是非常不错的。 我能想到的唯一真正的解决方法是实际创建两个监狱，一个使用发行版提供的配置，另一个使用我自己的。这似乎具有（相当显着）的缺点，即它们被视为独立的监狱（您期望通过这样的设置）。 当然，我不是唯一想要将我自己的failregexes添加到一个已经存在的集合中的人，而维护麻烦最少。 是否可以通过站点本地文件或主机本地文件来修改 fail2ban过滤器定义中的failregex和ignoreregex列表，而无需对相应的全局文件或发行版提供的文件进行任何更改？如果是，那该怎么办呢？

10 debian  fail2ban 

我安装了fail2ban以禁止对ssh密码进行暴力破解尝试。对于禁止在此计算机上禁用密码身份验证，存在一些业务要求。 使用同一厨师食谱安装了fail2ban，该厨师食谱有效地禁止了对其他计算机的ssh攻击。有一个配置的ssh监狱： # service fail2ban status fail2ban-server (pid 5480) is running... WARNING 'pidfile' not defined in 'Definition'. Using default one: '/var/run/fail2ban/fail2ban.pid' Status |- Number of jail: 1 `- Jail list: ssh 手动禁止用户的作品： # fail2ban-client set ssh banip 103.41.124.46 但这似乎并没有自动禁止任何人： # cat /var/log/fail2ban.log 2014-11-20 18:23:47,069 fail2ban.server [67569]: INFO Exiting Fail2ban 2014-11-20 …

10 ssh  security  firewall  fail2ban 

为了使用阻止过多的失败phpMyAdmin登录尝试fail2ban，我创建了一个脚本，用于将失败的尝试记录到文件中：/var/log/phpmyadmin_auth.log 自定义日志 该/var/log/phpmyadmin_auth.log文件的格式为： phpMyadmin login failed with username: root; ip: 192.168.1.50; url: http://somedomain.com/phpmyadmin/index.php phpMyadmin login failed with username: ; ip: 192.168.1.50; url: http://192.168.1.48/phpmyadmin/index.php 自定义过滤器 [Definition] # Count all bans in the logfile failregex = phpMyadmin login failed with username: .*; ip: <HOST>; phpMyAdmin监狱 [phpmyadmin] enabled = true port = http,https …

9 security  configuration  fail2ban 

我已经配置了fail2ban，但是我想测试电子邮件的发送。例如，我希望在启动或停止fail2ban时收到电子邮件。

9 fail2ban 

我已经配置了fail2ban来监视某种形式的恶意流量，并禁止关联的IP地址。 一切似乎都运行良好-正则表达式正确匹配了模式，问题IP地址已添加到iptables中。 但是，当我检查Apache日志时，仍然从被禁止的IP地址中获得点击。好像iptables根本没有运行。 因此，让我分享一些细节，只是为了确认所有配置均正确。 首先，我将清除并重新加载iptables规则： $ sudo iptables -F $ cat /etc/iptables.firewall.rules *filter # Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0 -A INPUT -i lo -j ACCEPT -A INPUT -d 127.0.0.0/8 -j REJECT # Accept all established inbound connections -A INPUT -m …

9 ubuntu  iptables  fail2ban 

fail2ban是否继续监视轮换的日志文件？ 例如，我有一个监视/var/log/fail2ban.log的规则，该规则由系统每周（7天）自动轮换一次。我想要一个规则来监视该日志中的被禁IP，以查找在过去10天中被禁止5次的重复违规者。那可能吗？

9 logrotate  fail2ban 

我目前使用root阻止所有ssh登录。但是我想加倍努力，阻止试图以root用户身份登录的客户端的IP地址。我目前拥有denyhosts和fail2ban的设置并可以正常工作，我可以使用denyhosts和fail2ban阻止那些尝试以root用户身份登录的IP地址吗？

8 security  ubuntu-10.04  fail2ban  denyhosts