บรรจวบ เข้าสู่ระบบ
Score:0
Deeepdigger avatar Server

Fail2ban ไม่บล็อกความพยายาม ssh

ธง cn
Deeepdigger

ฉันได้ตั้งค่า fail2ban เพื่อป้องกันความพยายาม ssh ที่ล้มเหลว ฉันตรวจสอบกฎด้วย fail2ban-regex และดึงข้อมูลจากบันทึกของฉัน ซึ่งใช้ได้ดี

ฉันยังตรวจสอบบันทึกสำหรับการแจ้งเตือน "ห้าม" และ IP ที่เป็นปัญหา และมันอยู่ที่นั่น:

zgrep 'ห้าม*202.29.214.13' /var/log/fail2ban.log*
/var/log/fail2ban.log:2021-08-23 01:27:19,023 fail2ban.actions [1460]: ประกาศ [sshd] แบน 202.29.214.13

อย่างไรก็ตาม บันทึก ssh / auth ของฉันยังคงแสดงความพยายามจาก IP นั้น หลังจาก การประทับเวลาที่เป็นปัญหา:

23 ส.ค. 01:27:23 น. myhost123 sshd[4526]: ข้อความซ้ำ 2 ครั้ง: [ รหัสผ่านล้มเหลวสำหรับรูทจากพอร์ต 202.29.214.13 47633 ssh2]
23 สิงหาคม 01:27:23 myhost123 sshd[4526]: ข้อผิดพลาด: เกินความพยายามในการตรวจสอบสิทธิ์สูงสุดสำหรับรูทจากพอร์ต 202.29.214.13 47633 ssh2 [preauth]
23 ส.ค. 01:27:23 น. myhost123 sshd[4526]: การตัดการเชื่อมต่อรูทผู้ใช้ที่ตรวจสอบสิทธิ์ 202.29.214.13 พอร์ต 47633: การตรวจสอบสิทธิ์ล้มเหลวมากเกินไป [preauth]
23 ส.ค. 01:27:31 myhost123 sshd[4533]: ข้อความซ้ำ 2 ครั้ง: [ รหัสผ่านล้มเหลวสำหรับรูทจากพอร์ต 202.29.214.13 50424 ssh2]
23 สิงหาคม 01:27:31 myhost123 sshd[4533]: ข้อผิดพลาด: เกินความพยายามในการตรวจสอบสิทธิ์สูงสุดสำหรับรูทจากพอร์ต 202.29.214.13 50424 ssh2 [preauth]
23 ส.ค. 01:27:31 myhost123 sshd[4533]: ตัดการเชื่อมต่อผู้ใช้รูทการตรวจสอบสิทธิ์ 202.29.214.13 พอร์ต 50424: การตรวจสอบสิทธิ์ล้มเหลวมากเกินไป [preauth]
23 สิงหาคม 01:27:39 myhost123 sshd[4535]: ข้อผิดพลาด: เกินความพยายามในการตรวจสอบสิทธิ์สูงสุดสำหรับรูทจากพอร์ต 202.29.214.13 53056 ssh2 [preauth]
23 ส.ค. 01:27:39 น. myhost123 sshd[4535]: การตัดการเชื่อมต่อรูทผู้ใช้ตรวจสอบสิทธิ์ 202.29.214.13 พอร์ต 53056: การตรวจสอบสิทธิ์ล้มเหลวมากเกินไป [preauth]
23 สิงหาคม 01:27:48 myhost123 sshd[4542]: ข้อผิดพลาด: เกินความพยายามในการตรวจสอบสิทธิ์สูงสุดสำหรับรูทจากพอร์ต 202.29.214.13 55901 ssh2 [preauth]
23 ส.ค. 01:27:48 น. myhost123 sshd[4542]: การตัดการเชื่อมต่อรูทผู้ใช้ที่ตรวจสอบสิทธิ์ 202.29.214.13 พอร์ต 55901: การตรวจสอบสิทธิ์ล้มเหลวมากเกินไป [preauth]
23 สิงหาคม 01:27:55 myhost123 sshd[4551]: ข้อผิดพลาด: เกินความพยายามในการตรวจสอบสิทธิ์สูงสุดสำหรับรูทจากพอร์ต 202.29.214.13 58908 ssh2 [preauth]
23 ส.ค. 01:27:55 น. myhost123 sshd[4551]: การตัดการเชื่อมต่อรูทผู้ใช้ที่ตรวจสอบสิทธิ์ 202.29.214.13 พอร์ต 58908: การตรวจสอบสิทธิ์ล้มเหลวมากเกินไป [preauth]
23 สิงหาคม 01:28:03 myhost123 sshd[4565]: ข้อผิดพลาด: เกินความพยายามในการตรวจสอบสิทธิ์สูงสุดสำหรับรูทจากพอร์ต 202.29.214.13 61129 ssh2 [preauth]
23 ส.ค. 01:28:03 น. myhost123 sshd[4565]: ตัดการเชื่อมต่อผู้ใช้รูทการตรวจสอบสิทธิ์ 202.29.214.13 พอร์ต 61129: การตรวจสอบสิทธิ์ล้มเหลวมากเกินไป [preauth]
23 สิงหาคม 01:28:23 myhost123 sshd[4577]: ข้อผิดพลาด: เกินความพยายามในการตรวจสอบสิทธิ์สูงสุดสำหรับผู้ดูแลระบบผู้ใช้ที่ไม่ถูกต้องจากพอร์ต 202.29.214.13 3511 ssh2 [preauth]
23 ส.ค. 01:29:24 myhost123 sshd[4613]: ข้อผิดพลาด: เกินความพยายามในการตรวจสอบสิทธิ์สูงสุดสำหรับผู้ใช้ oracle ที่ไม่ถูกต้องจากพอร์ต 202.29.214.13 24149 ssh2 [preauth]
23 สิงหาคม 01:30:07 myhost123 sshd[4641]: ข้อผิดพลาด: เกินความพยายามในการตรวจสอบสิทธิ์สูงสุดสำหรับผู้ใช้ที่ไม่ถูกต้อง usuario จากพอร์ต 202.29.214.13 37311 ssh2 [preauth]
23 ส.ค. 01:30:15 น. myhost123 sshd[4647]: ข้อผิดพลาด: เกินความพยายามในการตรวจสอบสิทธิ์สูงสุดสำหรับผู้ใช้ที่ไม่ถูกต้อง usuario จากพอร์ต 202.29.214.13 39486 ssh2 [preauth]
23 สิงหาคม 01:30:58 myhost123 sshd[4684]: ข้อผิดพลาด: เกินความพยายามในการตรวจสอบสิทธิ์สูงสุดสำหรับการทดสอบผู้ใช้ที่ไม่ถูกต้องจากพอร์ต 202.29.214.13 52882 ssh2 [preauth]
23 สิงหาคม 01:31:33 myhost123 sshd[4699]: ข้อผิดพลาด: เกินความพยายามในการตรวจสอบสิทธิ์สูงสุดสำหรับผู้ใช้ที่ไม่ถูกต้องจากพอร์ต 202.29.214.13 64849 ssh2 [preauth]

Fail2ban ไม่ควรบล็อกคำขอทั้งหมดจาก IP นั้นทั้งหมดใช่หรือไม่ คำแนะนำเกี่ยวกับสิ่งที่ต้องตรวจสอบชื่นชม

134
1 + 1
jp flag
Dom
ตรวจสอบว่า "iptables -L -nv" ส่งคืนบางอย่างเกี่ยวกับ f2b-ssh หรือไม่ ตรวจสอบล็อกของ fail2ban จัดเรียงล็อกการแบน: อาจมีข้อผิดพลาดเมื่อพยายามวาง iptables เข้าที่
1
ตอบกลับ
Score:0
Deeepdigger avatar Server
ธง cn
Deeepdigger

ขอบคุณคำใบ้ของ Dom: ขีดจำกัดของ iptables คือต้นตอของปัญหา

ตรวจสอบกับ:

grep "iptables: ปัญหาการจัดสรรหน่วยความจำ" /var/log/fail2ban.log

egrep "failcnt|numiptent" /proc/user_beancounters

ดูเหมือนว่าฉันไม่สามารถเปลี่ยนขีดจำกัดของ iptables ได้ มีเพียงผู้ให้บริการของฉันเท่านั้นที่ทำได้

0 + 2
Michael Hampton avatar
cz flag
Michael Hampton
นี่เป็นอีกปัญหาหนึ่งของ OpenVZ ขอแนะนำให้หลีกเลี่ยง OpenVZ และใช้ VPS ที่มีการจำลองเสมือนจริง
0
ตอบกลับ
sebres avatar
il flag
sebres
หากเคอร์เนลของโฮสต์ของคุณรองรับ `ipset` และคุณสามารถใช้ผ่าน OpenVZ ได้ คุณสามารถเปลี่ยนไปใช้การกระทำบางอย่างของ iptables-ipset ดังนั้นมันจึงสร้างเชน iptables เพียงอันเดียวต่อหนึ่งคุก และ IP ทั้งหมดจะไปที่ `ipset` (ซึ่งมาก เร็วขึ้นและหวังว่าจะไม่ได้รับผลกระทบจากข้อจำกัดที่เข้มงวดในระบบของคุณเช่น `iptables`)
1
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา