我已经在我的控制下的服务器上安装了由Debian打包的fail2ban。 由于我有一些以前的失败返回,我将它们放到本地filter定义文件中,这样它们也会被考虑。 因此,我结束了例如/etc/fail2ban/filter.d/sshd.conf和/etc/fail2ban/filter.d/sshd.local。 这是build议build立的方式 ,它似乎正在工作就好了。 但是,在.local文件中,我实际上是从.conf文件中replace了failregexes的整个列表。 该文档似乎并没有表明有任何其他的方式来做到这一点,我只是简单地将分发提供的.conf文件复制到一个.local文件,并做了一些补充。 如果我可以简单地修改这个列表,那么上游和Debian维护者的工作将会受益于分布式维护的日志条目filter正则expression式的变化。 我能想到的唯一真正的解决方法是实际创build两个jail,一个使用发行版提供的configuration,另一个使用我自己的configuration。 这似乎有一个(相当重要的)缺点,他们被视为独立的监狱(你期望与这样的设置)。 当然,我不可能是唯一一个想把我自己的一些失败软件join到已经存在的集合中,而且维护起来最less的麻烦。 是否可以通过站点本地或主机本地文件修改 fail2banfilter定义中的failregex和ignoreregex列表,而不对相应的全局或分发提供的文件进行任何更改? 如果是,那该怎么办呢?
我在/var/log/fail2ban.log fail2ban日志中完全填满了条目: fail2ban.filter : WARNING Determined IP using DNS Lookup: [IP address] 我认为这可能已经开始后,我改变了我的SSH端口… 任何想法是什么原因,以及如何阻止它?
我目前使用root阻止所有sshlogin。 但我想多走一步,阻止试图以root身份login的客户端的IP地址。 我目前有denyhosts和fail2ban设置和工作,我可以使用denyhosts和或fail2ban来阻止那些试图以root身份login的IP地址?
在Ubuntu 14.04服务器上运行。 所以我有fail2ban正确configuration为SSHlogin尝试处理/var/log/auth.log 。 在3次失败尝试中,我在fail2ban日志中看到了这一点: 2014-11-19 15:22:56,822 fail2ban.actions: WARNING [ssh] Ban BANNED_IP_ADDY iptables -L显示这个链: Chain fail2ban-ssh (1 references) target prot opt source destination REJECT all — BANNED_IP_ADDY anywhere reject-with icmp-port-unreachable RETURN all — anywhere anywhere 然而,从这个IP,我仍然可以通过SSHlogin没有任何问题。 同样的故事也适用于我所有的失败监狱。 Apache例如,我可以看到fail2ban正确地检测到日志并声称它禁止一个IP。 IP最终在iptables链中,但IP实际上并未被拒绝。 我在这种情况下有一种感觉,因为SSH不在标准端口上。 它在不同的港口。 所以,如果我强制ssh jail规则使用新的端口: [ssh] enabled = true port = 32323 filter = sshd logpath = […]
如果服务器重新启动,或者即使fail2ban停止/启动,它也会发送通知。 [asterisk-iptables] enabled = true filter = asterisk action = iptables-allports[name=ASTERISK, protocol=all] sendmail-whois[name=ASTERISK, [email protected], [email protected]] logpath = /var/log/asterisk/messages maxretry = 5 bantime = 259200 删除sendmail-whois停止它,但它也停止禁止通知,我怎样才能让它停止通知我,当进程启动/停止? 谢谢
通过MySQL上的search引擎search互联网和fail2ban在将你的fail2ban日志放入MySQL中产生了很多结果,但是我想监视失败的MySQL尝试login和禁止这些IP。 我的应用程序要求我保持打开MySQL的端口,但为了增加安全性,我已经更改了默认端口。 为了提高安全性,我想用fail2ban监视MySQL日志。 有没有人有一个快速指南来configurationMySQL的fail2ban? 我已经安装了一些其他服务,并且可以使用其他服务,所以您可以跳过安装部分,然后直接跳到configurationconfiguration文件或其他任何必需的configuration文件。
我怀疑在login到SSH时是否应该使用密钥身份validation,或者只是去fail2ban + ssh(禁用rootlogin)。 是fail2ban安全还是真的更好的是继续前进,并生成密钥和configuration所有我的客户端机器上需要连接到SSH?
我正在尝试在我们的Amazon EC2 Linux AMI(CentOS)上安装fail2ban。 我知道fail2ban在EPEL中,所以我做了以下工作: wget http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm sudo rpm -Uvh epel-release*rpm 但是,当我这样做时,我收到以下消息: package epel-release-6-8.9.amzn1.noarch (which is newer than epel-release-6-8.noarch) is already installed 这意味着EPEL已经可用,但是如果我这样做: sudo yum install fail2ban 我得到: Loaded plugins: priorities, security, update-motd, upgrade-helper amzn-main | 2.1 kB 00:00 amzn-updates | 2.3 kB 00:00 Setting up Install Process No package fail2ban available. Error: Nothing to […]
我目前习惯于使用像fail2ban这样的工具,通过禁止IPv4地址来防止不必要的stream量离开我的服务器:每个IP有太多的错误日志条目,禁止IP。 但是,当世界完成向IPv6的迁移时,由于“正常”的僵尸networking计算机或攻击者拥有相当多的IPv6地址,否则禁止单个地址可能不再起作用了。 如果我想阻止IPv6用户,那么最好的办法是什么? 使用某个IP掩码或其他东西? 如果在IPv6内部获得多个单独命中,然后禁止整个区块,那么如何进行“放大启发式”? 对我来说,减轻威胁更重要。 如果一些可怜的真正的用户属于同一个阻止IP的块,那么这些人和他们的ISP之间的问题是清除networking块。
我有我的Centos服务器上运行的Fail2Ban。 (下面的configuration) 在我的var / log / messages中,我注意到一些很奇怪的东西: Jun 19 12:09:32 localhost fail2ban.actions: INFO [postfix] 114.43.245.205 already banned 我configuration了Fail2Ban将禁止的IP添加到iptables。 我的jail.conf: [postfix] enabled = true filter = postfix action = iptables port = smtp,ssmtp filter = postfix logpath = /var/log/maillog bantime = 43200 maxretry = 2 我的postfix.conf: [INCLUDES] before = common.conf [Definition] failregex = reject: RCPT from […]