Главная » Форум » Gentoo Linux » Общие вопросы

fail2ban [solved]

fame 7 Августа, 2013 - 19:27

Собственно возникла небольшая проблема которую не могу решить.

Поставил fail2ban, поставил в jail.conf фильтр на ssh и vsftpd. Вроде как работает, но ssh не банит. Сколько раз не пробовал менять, все равно не банит, только после 5 раза веденного не правильно пароля дропает. Пакет gamin стоит.

Вот мои конфиги:

jail.conf: http://pastebin.com/vrstZm8U

s1 ~ # fail2ban-client status
Status
|- Number of jail:      3
`- Jail list:           ssh-iptables, ssh-route, vsftpd-iptables

s1 ~ # fail2ban-client status ssh-iptables
Status for the jail: ssh-iptables
|- filter
|  |- File list:
|  |- Currently failed: 0
|  `- Total failed:     0
`- action
   |- Currently banned: 0
   |  `- IP list:
   `- Total banned:     0

Прошу помощи товарищи.

‹ в разделе ntfs видит не все файлы Монтирование сетевого диска[РЕШЕНО] ›
»

См. fail2ban-regex. К

Автор alexanderyt, дата создания 7 Августа, 2013 - 22:31.

См. fail2ban-regex. К примеру

fail2ban-regex /var/log/auth.log '\S+ sshd\[\d+\]: Received disconnect from <HOST>:.+?$'

regex по вкусу.

»

s1 ~ # fail2ban-regex

Автор fame, дата создания 8 Августа, 2013 - 00:01.
s1 ~ # fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf

Running tests
=============

Use regex file : /etc/fail2ban/filter.d/sshd.conf
Use single line: /var/log/auth.log


Results
=======

Failregex: 0 total

Ignoreregex: 0 total

Summary
=======

Sorry, no match

Look at the above section 'Running tests' which could contain important
information.
»

ЧТо гоговит, что ни одной

Автор alexanderyt, дата создания 8 Августа, 2013 - 00:31.

ЧТо гоговит, что ни одной записи, соответсвующей какому-либо фильтру из filter.d/sshd.conf в auth.log не обнаружено.

»

auth.log пуст, а вот

Автор fame, дата создания 8 Августа, 2013 - 01:26.

auth.log пуст, а вот filter.d/sshd.conf:
http://pastebin.com/kZjdT2UK

»

Все еще не решил проблему,

Автор fame, дата создания 9 Августа, 2013 - 15:41.

Все еще не решил проблему, ребят помогайте. Ибо все перепробовал...

»

fame написал(а): auth.log

Автор alexanderyt, дата создания 9 Августа, 2013 - 17:49.
fame написал(а):
auth.log пуст,

А sshd логи куда складируются?

»

Должны в auth.log =\ Ладно

Автор fame, дата создания 9 Августа, 2013 - 23:43.

Должны в auth.log =\

Ладно еще порылся в настройках, оказывается sshd не слушает fail2ban, а слушает родные настройки sshd_config. Не подскажете что нужно изменить, что бы fail2ban работал с sshd?

Вот мои конфиги:
sshd_config: http://pastebin.com/jrJk0Xfp
ssh_config: http://pastebin.com/HKQANqaD

»

Я так и не понял - ты нашел

Автор evadim, дата создания 11 Августа, 2013 - 01:42.

Я так и не понял - ты нашел лог, в который сыпятся сообщения о неудачной авторизации в SSH?
Fail2ban - всего лишь парсер логов, а значит "совместно" с кем-то ему работать не нужно. Он ищет по маске строчку в логе, и добавляет правило в iptables согласно настройкам.

»

.

Автор Poor Fred, дата создания 16 Августа, 2013 - 09:57.
fame написал(а):
Должны в auth.log =\

Не должны, пока сам не настроишь syslog-ng.conf

fame написал(а):
Ладно еще порылся в настройках, оказывается sshd не слушает fail2ban, а слушает родные настройки sshd_config. Не подскажете что нужно изменить, что бы fail2ban работал с sshd?

Лог-файл укажи ему /var/log/messages. Или настрой syslog-ng.

»

/

Автор Anarchist, дата создания 16 Августа, 2013 - 10:14.
Poor Fred написал(а):
Лог-файл укажи ему /var/log/messages. Или настрой syslog-ng.

Есть мнение, что до добавления правил, формирующих сообщения для журнала не только там, но и в буфере ядра (dmesg) их искать… бесполезно.
Ну и… относительно текущей умолчательной конфигурации syslog-ng я не в курсе, но когда я настраивал подсистему журналирования, в умолчательном конфиге сообщения ядра в журнал не писались (то есть даже при наличии правил, и записей в ядерном буфере ты ничего не найдёшь в журналах).

:wq
--
Live free or die

»

Получил новую проблему: s1

Автор fame, дата создания 8 Августа, 2013 - 00:24.

Получил новую проблему:

s1 init.d # ./iptables status
 * status: stopped
s1 init.d # ./iptables start
 * Loading iptables state and starting firewall ...
iptables-restore v1.4.16.3: option "-p" requires an argument
Error occurred at line: 6
Try `iptables-restore -h' or 'iptables-restore --help' for more informat [ !! ]
 * ERROR: iptables failed to start

В чем может быть проблема?

»

iptables-restore v1.4.16.3:

Автор SysA, дата создания 8 Августа, 2013 - 00:30.
iptables-restore v1.4.16.3: option "-p" requires an argument
Error occurred at line: 6

:)

»

Думал дело в правилах, но нет

Автор fame, дата создания 8 Августа, 2013 - 01:20.

Думал дело в правилах, но нет =\

s1 init.d # iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere             multiport dports ftp,ssh

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
s1 init.d # ./iptables start
 * Loading iptables state and starting firewall ...
iptables-restore v1.4.16.3: option "-p" requires an argument
Error occurred at line: 6
Try `iptables-restore -h' or 'iptables-restore --help' for more information.                                                                                      [ !! ]
 * ERROR: iptables failed to start
s1 init.d #
»

Все iptables запустил, но бан

Автор fame, дата создания 8 Августа, 2013 - 19:10.

Iptables запустил(не правильно запускал правила...), но бан по ssh все еще не работает.

»

fame написал(а): Iptables

Автор Anarchist, дата создания 9 Августа, 2013 - 16:24.
fame написал(а):
Iptables запустил(не правильно запускал правила...)

Про настройку журналирования пакетного фильтра не забыл?

:wq
--
Live free or die

»

Можно поподробней? Скорее

Автор fame, дата создания 10 Августа, 2013 - 12:43.

Можно поподробней? Скорее всего забыл, и даже не знаю. То-есть подключить логи?

»

/

Автор Anarchist, дата создания 12 Августа, 2013 - 21:01.
fame написал(а):
Можно поподробней? Скорее всего забыл, и даже не знаю. То-есть подключить логи?

Можно-то конечно можно… (интересующий тебя вопрос настройки подсистемы журналирования описан в Security Handbook), но боюсь, что за пониманием сути выполняемого даже к хорошей книге по Unix обращаться рано (помним, что Разум суть порождение Языка).

:wq
--
Live free or die

»

Только появился в

Автор fame, дата создания 16 Августа, 2013 - 18:40.

Только появился в сеть...

Ребят спасибо за помощь. Суть была в том что логи складывались в messages, а в jail.conf было указано в auth.log. Сменил путь сейчас все работает. Сильно Вам благодарен :)

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".