是否值得运行fail2ban , sshdfilter或类似的工具,黑名单IP地址尝试和无法login? 我看到它认为这是一个“安全”的服务器上的安全剧场。 不过,我觉得这可能使脚本小子移动到列表中的下一个服务器。 假设我的服务器是“妥善保护”的,我并不担心暴力攻击会真正成功 – 这些工具是否简单地保持我的日志文件清洁,还是我在阻止暴力攻击方面获得任何有价值的好处? 更新 :关于蛮力猜测密码的评论很多 – 我提到我并不担心这一点。 也许我应该更具体一些,并询问fail2ban是否对仅允许基于密钥的sshlogin的服务器有任何好处。
我在所有具有公共可见服务的服务器上使用fail2ban,我想知道: 有一种简单的方法来共享我控制的主机之间禁止的IP? 有收集和发布数据的服务吗? 自从设置此服务器的第1天以来,我一直在进行无数的login尝试。
如何为同一规则configuration多个日志path? 我试图写这样的语法: [apache-w00tw00t] enabled = true filter = apache-w00tw00t action = iptables-allports logpath = /var/log/apache*/*error.log logpath = /var/www/vhosts/site1.com/log/errorlog logpath = /var/www/vhosts/site1.com/subdom/log/errorlog logpath = /var/www/vhosts/site3/log/errorlog logpath = /var/www/vhosts/site4/log/errorlog maxretry = 1 path都是不同的,所以我不能使用RE * 将更多日志添加到规则的正确语法是什么?
jail.local文件是作为jail.conf的替代还是替代 jail.conf? 当我从教程中了解到Fail2Ban的时候 ,他们中的大多数通常会说要将jail.conf复制到jail.local中,并在那里进行编辑,其中一些人说要创build一个新的jail.local文件,并提供一些设置来复制并粘贴。 但是他们没有解决的是jail.local如何与jail.conf配合使用。 这是两种情况: 覆盖:如果jail.local充当jail.conf文件的覆盖,那么我只需要将我想覆盖的必要configuration添加到jail.conf中给定的默认configuration。 在这种情况下,我不需要添加SSHconfiguration等,因为它已经包含在jail.conf。 replace:如果jail.local在jail.local存在时变得无效,那么我需要在jail.local中添加所有的规则,然后编辑我想修改的规则。 当jail.local存在时,你能确认jail.conf发生了什么吗? 如果jail.local在jail.conf文件中的作用只是一个覆盖,那么我只需要添加几行我想添加的规则就更容易了,这也使得维护和可读性变得容易。 什么是最好的办法呢?
在我的服务器,ssh端口不是标准的22.我已经设置了一个不同的。 如果我设置fail2ban,它是否能够检测到该端口? 我怎么能告诉它检查端口,而不是端口22? iptables -L -v -n的输出: Chain fail2ban-ssh (1 references) pkts bytes target prot opt in out source destination 0 0 DROP all — * * 119.235.2.158 0.0.0.0/0 0 0 RETURN all — * * 0.0.0.0/0 0.0.0.0/0 Chain fail2ban-ssh-ddos (0 references) pkts bytes target prot opt in out source destination 服务iptables状态的输出: iptables: unrecognized service […]
我有一个fail2banconfiguration如下: 在3次失败尝试后阻止IP 在300秒超时后释放IP 这完美的作品,我想保持这样的方式,使有效的用户有机会在超时后重试login。 现在,我想实现一个规则,即如果检测到相同的IP被攻击和阻止,解锁5次,永久阻止IP并且不再解除阻塞。 这可以单独使用fail2ban来实现吗?或者我需要编写自己的脚本来做到这一点? 我正在做这个。
我正在build立一个LAMP服务器,需要防止SSH / FTP /等。 蛮力login尝试从成功。 我已经看到许多关于denyhosts和fail2ban的build议,但是两者的比较很less。 我也读了IPTables规则可以填充相同的function。 为什么我会select这些方法之一? serverfault上的人如何处理这个问题?
我在服务器上使用Fail2Ban,我想知道如何正确解除IP。 我知道我可以直接使用IPTables: iptables -D fail2ban-ssh <number> 但是有没有办法与fail2ban-client做到这一点? 在手册中,它指出类似于: fail2ban-client get ssh actionunban <IP> 。 但是这不起作用。 此外,我不想/etc/init.d/fail2ban restart因为这将失去列表中的所有禁令。