服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 为什么是fail2ban发现,但不禁止
Intereting Posts
iptables规则的用例 使用别名设置Apache2虚拟主机的最佳实践? Catchallredirect到错误页面 为什么RDP不接受我存储的凭证,并且每次都让我手动input? 如何保护面向公众的远程桌面服务器? IPv6 AAAA与CNAME相同的域名 JVM与分段错误崩溃 在服务器核心2012上运行apcupsd? RewriteEngine追加/%25 /到我的目录http-> https 如何从Unix机器远程生成Windows AD Kerberos keytab? configurationVarnish 4 VCL只caching匿名用户的特定页面(使用Django) 无法在Tridion UGC中编辑注释 内核2.4的最新有效版本是什么? 如何获得* nix进程的文件名 使用基本身份validation响应HTTP OPTIONS

为什么是fail2ban发现,但不禁止

我注意到我的Ubuntu Xenial服务器上有一些奇怪的东西。
它在默认端口上有SSH,它有fail2ban
Fail2ban正在检测服务器上的强制尝试,并相应地logging下来: 

2017-01-12 10:58:19,927 fail2ban.filter [23119]: INFO [sshd] Found xxxx 2017-01-12 11:03:27,808 fail2ban.filter [23119]: INFO [sshd] Found xxxx 2017-01-12 11:08:37,936 fail2ban.filter [23119]: INFO [sshd] Found xxxx 2017-01-12 11:13:51,538 fail2ban.filter [23119]: INFO [sshd] Found xxxx 2017-01-12 11:18:57,939 fail2ban.filter [23119]: INFO [sshd] Found xxxx 2017-01-12 11:24:10,399 fail2ban.filter [23119]: INFO [sshd] Found xxxx 2017-01-12 11:29:23,161 fail2ban.filter [23119]: INFO [sshd] Found xxxx 2017-01-12 11:34:34,064 fail2ban.filter [23119]: INFO [sshd] Found xxxx 2017-01-12 11:39:44,540 fail2ban.filter [23119]: INFO [sshd] Found xxxx

xxxx在所有情况下都是相同的IP,而这个人只是钓鱼随机用户名,如auth.log所示: 

 Jan 12 12:05:46 MYSERVER sshd[23579]: Invalid user journalist from xxxx Jan 12 12:05:46 MYSERVER sshd[23579]: input_userauth_request: invalid user journalist [preauth] Jan 12 12:05:46 MYSERVER sshd[23579]: Received disconnect from xxxx port 47995:11: Normal Shutdown, Thank you for playing [preauth] Jan 12 12:05:46 MYSERVER sshd[23579]: Disconnected from xxxx port 47995 [preauth]

Fail2ban看到他们,他列出他们为“find”,但不禁止。 有任何想法吗?

编辑: 

 cat /etc/fail2ban/jail.d/myjails.local [apache-auth] enabled = true [sshd-ddos] enabled = true [recidive] enabled = true [dovecot] enabled = true [postfix] enabled=true

其余的configuration文件保留/etc/fail2ban/jail.conf默认值,即/etc/fail2ban/jail.conf有: 

 [sshd] port = ssh logpath = %(sshd_log)s [sshd-ddos] # This jail corresponds to the standard configuration in Fail2ban. # The mail-whois action send a notification e-mail with a whois request # in the body. port = ssh logpath = %(sshd_log)s

我们有: 

 cat /etc/fail2ban/jail.d/defaults-debian.conf [sshd] enabled = true

Fail2ban似乎没有禁止任何人 – 你提供的日志不会显示超过Ubuntu xenial提供的默认限制fail2ban。

查看你的/etc/fail2ban/jail.conf ,在[DEFAULT]部分有参数findtime (默认600 ,所以10分钟)和maxretry (默认5 ,在那个查找窗口内)。 也就是说,一小时只尝试几个密码的人不会触发它。

请注意,您不需要更改此文件(不应该,为了能够干净地升级它)。 你可以把[DEFAULT]块放到你的/etc/fail2ban/jail.d/myjails.local

 [DEFAULT] findtime = 3600 bantime = 3600 maxretry = 4
  • 看看文件jail.conf的开头,它实际上给出了一些关于如何和为什么的提示。
  • 不要locking自己。
  • 你的密码应该足够强大,这样你就可以轻松地知道一对夫妇每个小时尝试几个密码而没有发现任何东西在一百万年。