我运行一个基于Ubuntu的Web服务器(LAMP)并安装了fail2ban。 它是否有合理的默认限制通过SSH和任何LAMP端口开箱即用的恶意活动? 或者,是否需要configuration? 注意:我也使用iptables防火墙。
我一直在使用一个Ubuntu 8.04服务器与fail2ban一段时间(12个多月),并通过SSH使用FTP没有任何问题。 我有一个新用户,需要从IP调制解调器将文件放到服务器上。 我已经安装了vsftp( sudo apt-get install vsftp )和一切安装正确。 按照本指南,我在服务器上创build了一个ftp用户。 每当我尝试用我的ftp程序(filezilla)连接到服务器,我立即得到以下回应: 连接尝试失败,“ECONNREFUSED – 连接被服务器拒绝”。 我已经看了fail2ban并找不到任何问题。 iptables设置是: Chain INPUT (policy ACCEPT) target prot opt source destination fail2ban-ssh tcp — anywhere anywhere multiport dports ssh Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain fail2ban-ssh (1 references) […]
你好,新年快乐, 我想知道是否可以在使用bridge-util的虚拟主机上使用fail2ban。 我正在使用LXC容器进行虚拟化,因此可以直接访问主机环境中的所有日志文件。 如果我可以在主机上安装fail2ban并且立即保护所有的虚拟机,那将是非常好的。 我只是不确定fail2ban在bridge-util方面有多好,或者有什么需要考虑的方法。 谢谢,让更好的一年的希望(2012年)
在我的服务器上,我可以看到fail2ban每天都会重新启动。 在检查互联网时,我可以看到logrotate导致这种情况。 我通过从logrotate.d中删除fail2ban文件来禁用了fail2ban的logrotate。 还检查所有的cron作业,甚至检查/etc/cron.daily。 但问题仍然存在。 有没有人有任何想法?
您好我在Centos 6.5上使用postfix plus fail2ban,但我正在(我没有中继,但你去),由于某种原因fail2ban不能够切断ip和阻止它是一秒钟的6/7次进入我的/var/log/maillog Mar 3 13:05:47 postfix/smtpd[27715]: lost connection after UNKNOWN from Unknown[209.15.212.253] Mar 3 13:05:47 postfix/smtpd[27715]: disconnect from unknown[209.15.212.253] Mar 3 13:05:47 postfix/smtpd[27715]: warning: valid_hostname: misplaced delimiter: . 我没有publishing这个机器人的IP的问题,因为它显然不是任何人的朋友,是一个目的build立垃圾邮件引擎IP(RDNS的“。”,试图创造错位的定界符漏洞) 无论如何,我有fail2banconfiguration相当正确,它通过电子邮件说,它是在sasl和后缀下运行 这里是/etc/fail2ban/jail.local findtime = 600 bantime = 600 maxretry = 6 [sasl-iptables] enabled = true filter = postfix-sasl backend = polling action = iptables[name=sasl, […]
在几种不同的方法中使用了fail2ban,现在试图通过smtp来阻止黑客通过服务器发送垃圾邮件。 testing时正则expression式匹配正确: Failregex |- Regular expressions: | [1] \[<HOST>\]: 535 Incorrect authentication data | `- Number of matches: [1] 147 match(es) 监狱加载好: 2014-03-04 21:16:46,162 fail2ban.server : INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.6 2014-03-04 21:16:46,163 fail2ban.jail : INFO Creating new jail 'exim-auth' 2014-03-04 21:16:46,165 fail2ban.jail : INFO Jail 'exim-auth' uses Gamin 2014-03-04 21:16:46,187 […]
我有一个显示选举结果的页面。 有些人希望看到这些选举结果会在选举之夜继续点击刷新。 我不想阻止这种stream量 – 但我想在我的服务器上阻止简单的ping洪水等。 我应该如何configurationfail2ban以适应这些不同的规格?
在寻找fail2ban为什么不禁止模式时,我发现当我运行/etc/init.d/fail2ban状态时,它会在我的'date'命令后面超过一个小时。 'date'说:2月18日星期二20:45:02 MST 2014 输出状态返回:3月05 19:16:30 fed8 systemd [1]:启动LSB:启动/停止fail2ban … 我知道我的'date'是正确的,为什么fail2ban不同步,我该如何解决? 有没有一个configuration选项来强制它获得unix命令“date”而不是? 我使用fail2ban 8.12谢谢 编辑:从错误报告中添加补丁,没有改变的事情。 我应该包括完整的输出。 这个date还差不多,差不多2周大? 这是为什么? 看来状态不是报告最后一次尝试启动它时发生了什么? 当我做一个ps时,我发现fail2ban-server确实是“运行中”的: root 26430 0.4 0.1 1268652 14820 ? Sl 21:58 0:01 /usr/bin/python /usr/bin/fail2ban-server -b -s /var/run/fail2ban/fail2ban.sock -p /var/run/fail2ban/fail2ban.pid -x /etc/init.d/fail2ban status fail2ban.service – LSB: Start/Stop fail2ban Loaded: loaded (/etc/rc.d/init.d/fail2ban) Active: failed (Result: exit-code) since Wed 2014-03-05 […]
我正在configuration我的web服务器上的fail2ban。 我的Web服务器在ELB后面。 所以我configuration了X转发来获取Apache Access日志中的真实IP。但不幸fail2ban在访问日志中启用x转发时无法扫描访问日志。这是我的回归条件 failregex = ^<HOST> -.*\"(GET|POST).* 而bellow是我的logformat,当x转发启用 10.0.2.18 (42.104.63.31) – – [01/May/2014:16:05:39 +0000] "GET / HTTP/1.1" 304 – "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_2) AppleWebKit/537.75.14 (KHTML, like Gecko) Version/7.0.3 Safari/537.75.14"
我刚刚在服务器上执行fail2ban以进行testing。 我有一个BLACKLIST链,它阻止了一大堆我不希望到达服务器的CIDR掩码。 当fail2ban被bruteforce攻击触发时,它会正确地添加有问题的IP地址,但是它会刷新我的BLACkLIST链,我需要保持完整。 任何想法为什么发生这种情况,我怎么能坚持BLACKLIST链?