我试图寻找这个; 我发现很多人问,但我没有成功地find一个工作(对我来说)的解决scheme。 我有一个应用程序logging每个连接的自定义日志文件。 当fail2ban在5秒钟内从同一个ip检测到超过10个连接时,它将禁止“攻击者”600秒。 攻击者在禁止之前可以build立11/20个连接(没关系)。 之后,我得到xxx.xxx.xxx.xxx already banned fail2ban.log消息每行> 11.每秒有一个这样的消息; 这就像fail2ban禁止后每个具有相同IP的日志行一样。 但与此同时,另一个来自另一个IP的攻击者又成功地连接了多次(即50次),因为fail2ban正在分析来自以前IP(每秒1个)的日志行。 依此类推…虽然fail2ban处理过去的日志logging,但新的攻击者可以创build数千个连接。 这是渐进的,只有前几个攻击者被禁止。 我现在正在分析从1小时或更长时间以前build立连接的线路。
我将NodeJS作为一种服务于AngularJS前端的Web应用程序服务器来运行。 他们仅通过WebSockets进行通信,使用Socket.IO的SailsJS实现。 在前端(客户端)和NodeJS后端之间,nginx作为代理,像这样configuration: server { listen 1337 ssl; location /socket.io/ { proxy_pass https://localhost:1338; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_http_version 1.1; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } } 到现在为止还挺好。 我现在想要监视和保护WebSocket连接。 特别是,我想防止XSS攻击,并排除试图暴力login到我的应用程序的IP。 我很新的东西,但经过一些研究,我遇到了fail2ban和nginx-naxsi这可能正是我所需要的。 但是,我不知道如何使他们与我的设置工作。 这甚至有可能吗? 我可以以某种方式拦截通过在代理中的WebSocket(是Nginx)隧道通信?
编辑:添加额外的.conf文件,并略有改变措辞,由马可build议 我正在运行应该支持IPv6的Fail2ban v0.10 。 我已经根据这些指示设置了nftables的Fail2ban ,除了我使用nftables的'inet'系列而不是ip系列,因为我想允许IPv6stream量到我的服务器。 服务器可通过IPv6访问,我的防火墙(nftables)似乎正确configuration,据我所知(表inetfilter)。 然而,'表inet fail2ban'是为什么我这个post,在我看来,Fail2ban只读取IPv4日志,并阻止违规的IPv4主机。 我正在读这个吗? 如果有的话,是否有人知道如何使Fail2ban与IPv6stream量一起工作? 我知道Fail2ban v0.10 changelog指出并不是所有的禁止动作都是IPv6的,但我似乎无法find一个列表。 一个链接到我可以find的信息也欢迎,因为我似乎无法find自己。 我只包括recidive监狱configuration,因为我认为,如果我可以入狱与IPv6的工作,我可以做其他人一样,如果我误以为这个假设请告诉我:) 我的nftables规则集: table inet filter { chain input { type filter hook input priority 0; policy accept; ct state { related, established} accept ct state invalid drop iifname "lo" accept ip protocol icmp accept ip6 nexthdr ipv6-icmp accept tcp dport […]
我有很多通过HTTP请求进行漏洞扫描(试图获取/password.txt等)。 目前我使用fail2banparsingNginx的访问日志来计算404的和禁止攻击者的IP地址。 我想知道是否可以简单地configurationiptables来限制HTTP请求,而不是? 我尝试了这样的事情 iptables -I INPUT -p tcp –dport 2012 -i eth0 -m state –state NEW -m recent –updat…e –seconds 60 –hitcount 5 -j REJECT –reject-with icmp-host-unreachable 但显然它没有按预期工作。 我的猜测是恶意的HTTP请求是通过一个持久连接传送的,所以上面的iptables规则没有被触发。 所以我的问题是:有可能在iptables中限制HTTP请求,或者我应该坚持fail2ban? 谢谢!
我有一个媒体网站和用户出现的问题,并抓取所有的内容。我在网页上放置了一个不可见的URL来捕捉立即阻止IP的蜘蛛,但有些人已经找出了URLscheme,并正在创build自己的脚本。 到目前为止,我所见过的所有fail2banfilter都处理失败的login尝试,但是我希望有一个更高级的检测,然后进行速率限制和/或阻止滥用者。 刮板使用的url都是有效的,所以如果速度足够慢,我就不能说了,但是我想我可以通过fail2ban把业余爱好者排除在外。 我如何以正确的方式在fail2ban中实现这个filter,同时最小化我对合法用户的误报?
我试图configurationfail2ban,我试图login到我的web服务器无数次触发规则,看看我的iptables它似乎已经工作: Chain fail2ban-apache (1 references) target prot opt source destination DROP all — 192.168.1.70 0.0.0.0/0 RETURN all — 0.0.0.0/0 0.0.0.0/0 但是,如果我尝试从.70访问Apache服务器,我仍然可以! 有任何想法吗? 完整列表按要求: Chain INPUT (policy ACCEPT 100998 packets, 137858737 bytes) pkts bytes target prot opt in out source destination 0 0 fail2ban-apache tcp — * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 1925 322694 fail2ban-ssh […]
我使用passwd -l rootlocking了我的服务器上的root帐户,因此在/var/log/auth.log尝试login会导致以下结果: User root not allowed because account is locked Fail2Ban不会select这些,所以这些尝试会持续很长时间。 如何调整Fail2Ban来识别这些? 完整留言示例: Apr 10 13:32:28 server sshd[pid]: User root not allowed because account is locked
我已经启动并运行良好,并且我意识到networking上的任何工作站都可以访问SecAst Telnet界面。 有没有办法限制这只有我的笔记本电脑? 我不希望最终用户中的一个人混淆禁止/禁止联系
这是我第一次在这里找不到解决scheme。 所以希望能够解决。 我已经安装了一个新的,新的Ubuntu的最小系统(14.04)与SSH上。 之后,我安装了fail2ban。 我的ssh运行在47629端口 我的jail.conf: ignoreip = 127.0.0.1 10.14.11.165 bantime = 9999 findtime = 150 maxretry = 3 backend = auto usedns = warn destemail = [email protected] sendername = [email protected] mta = mail chain = INPUT action = %(action_mwl)s [ssh-iptables] enabled = true port = 47629 filter = sshd action = iptables[name=SSH, port=47629, protocol=tcp] […]
我试图在CentOS7上运行fail2ban(没有SELinux),它使用firewalld。 我的目标是将其设置为禁止Asterisk密码失败。 安装程序是默认的yum install fail2ban configuration方面我只加了jail.local以下内容: [DEFAULT] backend = systemd banaction = firewallcmd-ipset destemail = [email protected] sender = [email protected] [asterisk] enabled = true #filter = asterisk #logpath = /var/log/asterisk/messages maxretry = 5 bantime = 86400 现在,当我重新启动fail2ban服务,我得到这样的fail2ban.log条目: 2015-04-26 13:35:18,149 fail2ban.server [2820]: INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.9.1 2015-04-26 13:35:18,151 fail2ban.database [2820]: INFO Connected […]