我有fail2ban设置与以下设置: bantime = 86400 findtime = 600 maxretry = 2 这很好,因为它阻止任何在10分钟内暴力强制3次的IP。 但是,每隔30分钟就有一些IP正在尝试。 要捕获这些IP,我将设置更改为: bantime = 86400 findtime = 3600 maxretry = 2 现在,它每隔一小时检查一次,并捕捉那些每20-30分钟尝试一次的IP。 然而,现在我的VPS并没有赶上那些可能会在一个小时内强行逼人的IP。 因此,有什么办法可以设置findtime = 3600 ,每10分钟还有fail2ban检查吗?
我在Synology NAS上安装了fail2ban 0.9.1来处理失败的SSH尝试。 当我启动监狱时,我在fail2ban.log中得到以下错误: 2015-02-01 17:22:52,394 fail2ban.jail [30576]: INFO Jail 'ssh-iptables-syno' started 2015-02-01 17:22:53,287 fail2ban.actions [30576]: NOTICE [ssh-iptables-syno] Ban 103.41.124.52 2015-02-01 17:22:53,613 fail2ban.action [30576]: ERROR iptables -I f2b-ssh-iptables-syno 1 -s 103.41.124.52 -j REJECT –reject-with icmp-port-unreachable — stdout: '' 2015-02-01 17:22:53,625 fail2ban.action [30576]: ERROR iptables -I f2b-ssh-iptables-syno 1 -s 103.41.124.52 -j REJECT –reject-with icmp-port-unreachable — stderr: […]
我的fail2ban禁令似乎没有工作。 我仍然在45分钟之内重复禁止来自同一知识产权的通知。 我的禁令时间是24小时。 [sasl] enabled = true port = smtp filter = sasl action = iptables-multiport[name=sasl, port="smtp,ssmtp", protocol=tcp] sendmail-whois-lines[name=SASL, [email protected],[email protected], logpath=/var/log/mail.log] complain[logpath=/var/log/mail.log] logpath = /var/log/mail.log maxretry = 3 findtime = 10800 # 3 hours bantime = 86400 # 24h 这在/etc/fail2ban/jail.local中
以下是fail2ban日志的输出。 没有更多的显示,但在auth.log我看到像根用户login数百失败(有人是坏屁股暴力强制)。 2011-07-06 01:48:16,249 fail2ban.server : INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.3 2011-07-06 01:48:16,250 fail2ban.jail : INFO Creating new jail 'ssh' 2011-07-06 01:48:16,250 fail2ban.jail : INFO Jail 'ssh' uses poller 2011-07-06 01:48:16,251 fail2ban.filter : INFO Added logfile = /var/log/auth.log 2011-07-06 01:48:16,252 fail2ban.filter : INFO Set maxRetry = 3 2011-07-06 01:48:16,253 fail2ban.filter : […]
目前我正在使用Blockhosts和mod_evasive来“pipe理”次要攻击和虚假请求,我想知道是否有更好的/更有效的东西。 一些行为像mod_evasive,监视请求,因为他们进来,但有能力控制什么被阻止使用关键字或正则expression式。 例如,任何时候任何人请求“../etc/passwd”之类的东西 – 我想放弃这个IP地址几天。 我也看过了fail2ban,但它和blockhosts一样,监视日志文件。 不是我正在寻找的东西。 无论如何,服务器是运行Apache 2.2的CentOS,在虚拟主机容器中容纳大约100个站点,所以我只能通过Web访问虚拟机主机服务器防火墙并试图在每个域的htaccess重写规则中堵塞将不可维护。 有什么build议么?
我使用fail2ban运行CentOS 5服务器,目前我的鸽舍服务遭受了powershell攻击。 我知道fail2ban正在工作,因为它阻止了我的FTP服务器和Postfix的攻击。 出于某种原因,我错过了一些与dovecot有关的事情,因为fail2ban日志没有任何内容,攻击仍然没有消失。 我的日志如下。 Dovecot将所有内容logging到/var/log/dovecot-info.log 我看到两种types的日志。 第一个看起来像这样(注意:我的服务器IP是好的 – 我用xxx.xxx.xxx阻止了更细的细节): Feb 22 21:48:21 pop3-login: Info: Aborted login (auth failed, 1 attempts): user=<felix>, method=PLAIN, rip=177.19.151.139, lip=173.xxx.xxx.xxx Feb 22 21:48:23 auth: Info: passwd-file(felipe,177.19.151.139): unknown user Feb 22 21:48:25 pop3-login: Info: Aborted login (auth failed, 1 attempts): user=<felipe>, method=PLAIN, rip=177.19.151.139, lip=173.xxx.xxx.xxx Feb 22 21:48:29 auth: Info: passwd-file(felix,177.19.151.139): unknown […]
如果我从这里修改postfix fail2ban规则是明智的吗: failregex = ^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[<HOST>\]: 554 5\.7\.1 .*$ ^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[<HOST>\]: 450 4\.7\.1 Client host rejected: cannot find your hostname, (\[\S*\]); from=<\S*> to=<\S+> proto=ESMTP helo=<\S*>$ ^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[<HOST>\]: 450 4\.7\.1 : Helo command rejected: Host not found; from=<> to=<> proto=ESMTP helo= *$ ^%(__prefix_line)sNOQUEUE: reject: EHLO from \S+\[<HOST>\]: […]
这是我需要解决的具体问题(但是我的问题是不同的,所以即使你不知道fail2ban是什么,也请继续阅读): 我试图在Linux服务器上使用fail2ban来禁止对多个服务(ssh,dovecot,apache,postfix等)的暴力攻击。 现在我偶然发现了fail2ban似乎同时执行多个iptables命令的问题(使用Python中的线程),而且这种情况在iptables返回“资源暂时不可用”时经常失败(特别是在启动时)。 错误。 我想通过“同步”调用iptables来解决这些问题。 我正在寻找一个程序创build一些互斥/锁文件,只有当这个文件可以创build,然后启动真正的命令,并在命令完成后,删除互斥文件。 如果互斥文件已经存在,那么程序会等待,直到互斥文件消失,然后尝试获取它。 通过这样的命令,我可以configurationfail2ban中的iptables-actions来等待对方,以免它们同时执行。 我很确定已经有了这样一个程序,所以我不必自己写这个。 但到目前为止,我还没有find它。
我正在为各种服务设置fail2ban。 Ssh进展顺利,但迄今为止我还没有成功vsftpd。 问题是,我无法find一个方法来获取失败的login尝试出现在日志中。 我在auth.log和vsftpd.log中看不到任何内容。 在这里的例子: http : //www.fail2ban.org/wiki/index.php/Vsftpd有几行应该出现在各种日志,但他们不。 这里是我现在在conf中的: listen=YES anonymous_enable=NO local_enable=YES write_enable=YES dirmessage_enable=YES use_localtime=YES xferlog_enable=YES dual_log_enable=YES xferlog_std_format=NO xferlog_file=/var/log/vsftpd.log session_support=YES connect_from_port_20=YES chroot_local_user=YES userlist_deny=NO userlist_enable=YES userlist_file=/etc/vsftpd.allowed_users secure_chroot_dir=/var/run/vsftpd/empty pam_service_name=vsftpd rsa_cert_file=/etc/ssl/private/vsftpd.pem ssl_enable=YES allow_anon_ssl=NO force_local_data_ssl=YES force_local_logins_ssl=YES ssl_tlsv1=YES ssl_sslv2=YES ssl_sslv3=YES 在日志中,我只能看到成功login,但是当客户端获得530权限被拒绝时,没有任何logging。 我宁愿不logging整个FTP聊天。 使用Ubuntu 10.04。
Ubuntu服务器9.10 嗨,大家好, 我认为这是一个简单的…我试图安装fail2ban并得到以下错误: $ sudo apt-get install fail2ban Reading package lists… Done Building dependency tree Reading state information… Done E: Couldn't find package fail2ban 我需要启用哪个存储库才能安装它? 我目前在sources.list中启用了以下内容 deb http://us.archive.ubuntu.com/ubuntu/ karmic main restricted deb-src http://us.archive.ubuntu.com/ubuntu/ karmic main restricted deb http://security.ubuntu.com/ubuntu karmic-security main restricted deb-src http://security.ubuntu.com/ubuntu karmic-security main restricted deb http://security.ubuntu.com/ubuntu karmic-security universe deb-src http://security.ubuntu.com/ubuntu karmic-security universe deb […]