在我的日志里,我经常看到像这样丢弃的ips: > Oct 30 17:32:24 IPTables Dropped: IN=eth0 OUT= > MAC=04:01:2b:bd:b0:01:4c:96:14:ff:df:f0:08:00 SRC=62.210.94.116 > DST=128.199.xxx.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=45212 > PROTO=TCP SPT=51266 DPT=5900 WINDOW=1024 RES=0x00 SYN URGP=0 > > Oct 30 17:29:57 Debian kernel: [231590.140175] IPTables Dropped: > IN=eth0 OUT= MAC=04:01:2b:bd:b0:01:4c:96:14:ff:ff:f0:08:00 > SRC=69.30.240.90 DST=128.199.xxx.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=245 > ID=12842 DF PROTO=TCP SPT=18534 DPT=8061 WINDOW=512 […]
我对服务器相当陌生。 我正在尝试在debian上运行shoutcast服务器。 Shoutcast运行在8000的默认端口。我的问题是访问xxx.xxx.xx.xxx:8000时不会加载。 当我通过SSHlogin,并创build一个隧道到我的本地机器,它使用本地主机:8000工作得很好。 在我的iptables中,我添加了以下行: -A INPUT -p tcp –match multiport –dports 8000:9999 -j ACCEPT 前几天我安装了fail2ban。 昨晚我使用下面的方式卸载了fail2ban: apt-get purge fail2ban 这样做后,它开始工作。 现在,我重新安装了fail2ban,并正在寻找一种方法来configuration它忽略这些端口。 再次,我对fail2ban一无所知,并正在学习如何使用它。 没有得到它的工作,我感到沮丧,并试图再次卸载fail2ban。 这一次我使用了这个命令: apt-get remove fail2ban 我知道第一个清除所有的configuration,并恢复iptables,所以我select了这一个。 我错误地运行了第二个命令,而不是运行清除。 我从那以后重新安装了fail2ban,并且再次运行purge命令,希望它能清理和恢复所有的东西。 我仍然没有外部通道,不得不build立一个隧道。 我甚至删除了iptables文件,并重新启动我的服务器。 运用 iptables -L 表明我只有默认值接受一切。 我终于在这里不知所措,不知道还有什么要检查。 我只是想能够访问xx.xxx.xx.xxx:8000到xx.xxx.xx.xxx:9999。 Results of: iptables -L -n -v Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes […]
Fail2ban启动okey。 它使用我的sshdfilter,并禁止IP地址。 但是使用vsftpd它在运行时不会注册失败的login名: fail2ban-client status vsftpd 我已经尝试了auth.log和vsftpd.log。 文件path从我真正出于安全原因而改变,并不是真正的/path/to/thelog.log vsftpd.log : Status for the jail: vsftpd |- filter | |- File list: /path/to/vsftpd.log | |- Currently failed: 0 | `- Total failed: 0 `- action |- Currently banned: 0 | `- IP list: `- Total banned: 0 auth.log : Status for the jail: vsftpd |- filter […]
我有一个debian wheezy服务器,我使用的是与软件包安装程序一起加载的Fail2ban。 我注意到,虽然我的服务器上的版本(0.8.6-3wheezy3)是最新版本,但它与fail2ban.org网站版本不匹配。 特别是,我的发行版中的action.d和filter.d脚本比较老,比fail2ban发行版中的脚本less很多。 我从这里下载并提取它们:( http://www.fail2ban.org/wiki/index.php/Main_Page ) 这些兼容吗? 我可以使用fail2ban.org发行版中的脚本来更新我的脚本吗?
我有3个服务器,2个Debian和1个Arch。 像往常一样,拱让我努力工作的简单的事情。 这次是fail2ban。 我的安装fail2ban是默认的,它的版本是0.9.3-3。 要testing我的机器是否可以发送邮件,请使用以下命令: echo "test message" | mailx -s 'test subject' [email protected] 这些电子邮件显示在我的系统日志中使用此命令: journalctl -u sendmail.service 而电子邮件也到达我的Gmail收件箱。 好东西! 与fail2ban的问题是,当我重新启动我的Debain机器上的服务时,我收到来自我的Arch框的电子邮件,我从来没有收到一封电子邮件,在sendmail日志中我没有看到它正在尝试。 我的jail.local文件: # WARNING: heavily refactored in 0.9.0 release. Please review and # customize settings for your setup. # # Changes: in most of the cases you should not modify this # file, but provide […]
在使用WordPress和WP fail2ban插件的LEMP堆栈中,WordPress身份validation问题会很好地logging到/ var / log / messages。 $ sudo fail2ban-client version 0.9.2 在过去的几天里,我在这里获得了大约25K的这些线路,来自瑞典的一些蛮力尝试: Aug 17 10:48:58 ip-172-1-6-5 wordpress(mydomain.com)[29203]: Blocked authentication attempt for mydomain from 217.70.32.9 Aug 17 10:48:58 ip-172-1-6-5 wordpress(mydomain.com)[29204]: Blocked authentication attempt for mydomain from 217.70.32.9 Aug 17 10:48:58 ip-172-1-6-5 wordpress(mydomain.com)[29796]: Blocked authentication attempt for mydomain from 217.70.32.9 Aug 17 10:48:58 ip-172-1-6-5 wordpress(mydomain.com)[29203]: Blocked […]
我有一个列入黑名单的IP文件,当fail2ban启动时,通过fail2ban加载到iptables 。 假设初始列表在启动时看起来像这样: Chain fail2ban-ip-blacklist (1 references) target prot opt source destination DROP all — 120.25.68.125 0.0.0.0/0 RETURN all — 0.0.0.0/0 0.0.0.0/0 Chain fail2ban-wordress (1 references) target prot opt source destination RETURN all — 0.0.0.0/0 0.0.0.0/0 为什么我会在启动后在我的日志中得到一个通知, 120.25.68.125已经被禁止,并重新访问iptables的状态来看看这个: Chain fail2ban-ip-blacklist (1 references) target prot opt source destination DROP all — 120.25.68.125 0.0.0.0/0 RETURN all — […]
我有msmtp作为一个空客户端连接到我的AWS SES账户的SMTP,提供警报,如cron,monit,并希望Fail2Ban很快到我的电子邮件地址。 但是,Fail2Ban不会打球,或者更准确地说,selinux正在阻止事情的发生。 在许可模式下,action_mwl工作得很好。 我禁止了电子邮件。 在强制模式下,Fail2Banlogging一个错误,不发送邮件。 根据msmtp日志,试图发送它,但是它不会。 下面是Fail2Ban日志条目的一部分(部分): 2015-09-29 12:25:12,543 fail2ban.actions [31113]: ERROR Failed to execute ban jail 'wordpress' action 'sendmail-whois-lines' info 'CallingMap({'ipjailmatches': <function <lambda> at 0x2c5ac08>, 'matches': u' msmtp报告: Sep 29 12:25:12 host=email-smtp.eu-west-1.amazonaws.com tls=on auth=on user=12345 [email protected] [email protected] errormsg='cannot connect to email-smtp.eu-west-1.amazonaws.com, port 587: Permission denied' exitcode=EX_TEMPFAIL 这不是一个msmtpconfiguration问题,也不是一个电子邮件正文内容问题,因为我可以从命令行pipe道发送确切的Fail2Ban消息到msmtp(直接,或通过sendmail符号链接)就好了,它发送精美。 证书等,因此是好的。 也可以通过cron工作。 这意味着它也不是防火墙问题。 $ sudo ls […]
我使用了Fail2Ban和BFD,通常在运行IPTables的服务器上使用Fail2Ban,在服务器运行APF时使用BFD。 这两项服务有什么重大的区别? 这两个程序和兼容性问题之间的优缺点是什么?
我最近在Ubuntu 12.04.5服务器上安装了Fail2Ban,并且工作得很好。 现在我想安装Munin,这样它可以监控它并生成图表/报告。 我发现Munin有一个内置的Fail2Ban插件可以像这样启用: sudo ln -s /usr/share/munin/plugins/fail2ban /etc/munin/plugins/fail2ban 这样做,并重新启动穆宁这样: sudo service munin-node restart 等待5-10分钟才能生成报告。 虽然服务器报告中有一个Fail2Ban区域,但所有图像都已损坏。 为什么? 我能做些什么来解决这个问题?