บรรจวบ เข้าสู่ระบบ
Score:0
itarill avatar Server

Failed2ban ไม่ทำงานสำหรับ ssh ยกเว้นพอร์ต 22

ธง vn
itarill

Fail2ban ของฉันไม่ทำงานสำหรับ sshd ยกเว้นพอร์ตเริ่มต้น 22/tcp

config เก่าของฉันที่ใช้งานได้ใน jail.local:

[sshd]
เปิดใช้งาน = จริง
พอร์ต = ssh

ทดสอบfail2ban แบนฉันหลังจากพยายามล้มเหลว 3 ครั้งตามที่ตั้งใจไว้

ฉันระบุพอร์ตอื่นอย่างชัดเจนในภายหลังใน jail.local; ssh tunnel ทำงานบนพอร์ตใหม่ แต่เมื่อฉันรู้ตัวว่าทำผิดด้วยรหัสผ่าน ssh ผิด ฉันจะไม่ได้รับการแบนหลังจากพยายามหลายครั้ง

sshd.service, fail2ban.service รีสตาร์ทแล้ว ลองรีบูตด้วย

ฉันได้รับข้อความอีเมลเกี่ยวกับการถูกแบน แต่ฉันยังสามารถ (สำเร็จ) พยายามเข้าสู่ระบบ

แก้ไข: นี่คือ Pastebin ของ Failed2ban-ไคลเอนต์ -d | เกรป 'ssh'

176
0 + 0
Chris avatar
it flag
Chris
*ฉันระบุพอร์ตอื่นอย่างชัดเจนในภายหลังใน jail.local* หากคุณใช้พอร์ต ssh แบบกำหนดเอง คุณต้องตั้งค่าอย่างชัดเจนใน conf ของคุณ (เช่น port = 12345) มิฉะนั้น fail2ban จะแบนพอร์ต ssh เริ่มต้น (22) .
1
ตอบกลับ
itarill avatar
vn flag
itarill
นั่นคือสิ่งที่ฉันทำ ดังนั้นความประหลาดใจของฉัน
0
ตอบกลับ
itarill avatar
vn flag
itarill
เวลาแบนของฉันคือ 10 นาที - ถ้าฉันเปลี่ยน IP สำหรับ sshd เป็น 22 และเริ่มช่องสัญญาณใหม่สำหรับพอร์ต 22 ก็จะไม่ถูกแบนเช่นกัน
0
ตอบกลับ
sebix avatar
ie flag
sebix
หากไม่มีข้อมูลเพิ่มเติม (การกำหนดค่าที่แสดง บันทึก ฯลฯ) ก็ยากที่จะคาดเดาว่ามีอะไรผิดพลาด
0
ตอบกลับ
Score:0
sebres avatar Server
ธง il
sebres

อาจมีบางอย่างไม่ถูกต้องในการกำหนดค่าของคุณ

ตัวอย่างเช่น ส่วนคุกเริ่มต้นของ fail2ban สำหรับ sshd คือ [sshd]ในขณะที่ตัวอย่างของคุณแสดงให้เห็น [ssh]. คุณมี 2 คุก? หรือคุณทำการปรับแต่งด้วยคุกหรือค่าเริ่มต้นเอง? (เช่นค่าเริ่มต้น หนังบู๊ ถูกเขียนทับ)

เพื่อตรวจสอบให้ลึกยิ่งขึ้นที่คุณสามารถทำได้ แสดงการถ่ายโอนข้อมูลของการกำหนดค่า fail2ban (รวม):

Failed2ban-ไคลเอนต์ -d | เกรป 'ssh'

สิ่งที่น่าสนใจคือค่าของ actionstart (และ actionban) และดูว่าพอร์ตนั้นถูกสอดแทรกในนิยามของการกระทำหรือไม่

คำแนะนำเล็กน้อย: สำหรับการปรับแต่ง (หากคุณต้องการเขียนทับไฟล์ หนังบู๊ ด้วยเหตุผลบางประการ) ตั้งค่า แบน เท่านั้น (จะถูกแก้ไขโดยค่าเริ่มต้น หนังบู๊ ประกาศ):

[คุก]
banaction = iptables-ipset-proto6

หรือใช้ พารามิเตอร์ทั้งหมดที่การดำเนินการคาดหวัง:

[คุก]
การดำเนินการ = iptables-ipset-proto6[พอร์ต="%(พอร์ต)s", โปรโตคอล="%(โปรโตคอล)s", chain="%(chain)s"]

มิฉะนั้นการดำเนินการอาจใช้พอร์ตเริ่มต้น (ซึ่งอาจเป็น 22)

0 + 0
itarill avatar
vn flag
itarill
คุณพูดถูกกับ [ssh] vs [sshd] มันพิมพ์ผิดในโพสต์ของฉัน ไฟล์ config ถูกต้องแล้ว ฉันเพิ่ม Pastebin ด้วย Failed2ban-Client -d
0
ตอบกลับ
sebres avatar
il flag
sebres
ดูในการถ่ายโอนข้อมูลพอร์ตคือ `ssh`: ` -I INPUT -p tcp -m มัลติพอร์ต --dports ssh -j f2b-sshd'` ดังนั้น ไม่ว่าคุณจะมีการกำหนดค่าอื่นๆ ที่เขียนทับพอร์ตของคุก sshd (เช่น ใน `/etc/fail2ban/jail.d` คุณสามารถตรวจสอบว่าไฟล์กำหนดค่าใดบ้างที่รวมอยู่ใน `fail2ban-client -vvd`) หรือ `jail.local ของคุณ ` ไม่ถูกที่ (ต้องอยู่ใน `/etc/fail2ban` โดยตรง) หรือการกำหนดค่าของคุณยังผิดอยู่ (ดูคำตอบของฉันอย่างตั้งใจ เช่น `action` ของคุกถูกเขียนทับและพอร์ตที่ระบุในคุกไม่ได้ให้มา การกระทำ).
0
ตอบกลับ
itarill avatar
vn flag
itarill
ตาม Pastebin ของการกำหนดค่า [fail2ban-client -vvd](https://pastebin.com/RhE44Mst) นี้น่าจะใช้ได้ พอร์ตทั้งหมดจะถูกเขียนทับเป็น 31222 คุกในเครื่องของฉันนั้นเป็นสำเนาของ jail.conf ที่คัดลอกไปยังคุก .local ในไดเรกทอรีเดียวกัน
0
ตอบกลับ
itarill avatar
vn flag
itarill
ฉันล้างข้อมูลใน jail.local ได้แล้ว [ทั้งหมด](https://pastebin.com/qsnAhGB8)
0
ตอบกลับ
sebres avatar
il flag
sebres
ยังมีหลายรายการที่ซ้ำกับ jail.conf ดั้งเดิม (ซึ่งสามารถลบได้) แต่... สำหรับพอร์ตนั้น jail.local ดูเหมือนจะไม่เป็นไร ถ้าฉันลองถ่ายโอนข้อมูลการกำหนดค่าของคุณด้วยสต็อก `/etc/fail2ban` กับ `fail2ban-client -d | grep 'dports'` มันแสดงพอร์ตที่ถูกต้องสำหรับคุก `sshd` ได้ค่อนข้างดี: `['แอคชั่นสตาร์ท', ' -N f2b-sshd\n -A f2b-sshd -j ผลตอบแทน\n -I INPUT -p tcp -m หลายพอร์ต --dports 31222 -j f2b-sshd'], ['actionban', ' -I f2b-sshd 1 -s -เจ ']`. ดังนั้นโปรดอ่านสิ่งที่ฉันเขียนไว้ข้างต้นอย่างตั้งใจและตรวจสอบส่วนกำหนดค่าที่เหลืออย่างละเอียด
0
ตอบกลับ
sebres avatar
il flag
sebres
... และถ้าดัมพ์ของคุณถูกต้อง (คุณจะเห็น `--dports 31222`) อย่าลืมรีสตาร์ทfail2ban (หรืออย่างน้อยคุก `sshd`)
0
ตอบกลับ
itarill avatar
vn flag
itarill
ขอบคุณ ตอนนี้มันทำงานได้อย่างถูกต้อง ฉันต้องทำความสะอาด `jail.local` มากขึ้น (ก่อนหน้านี้ใช้ไม่ได้แม้ว่า `dports` จะแสดงอย่างถูกต้องในดัมพ์แล้วก็ตาม) อีกอย่างหนึ่ง `action` และ `banaction` ของฉันถูกกำหนดโดย `jail.conf` เมื่อฉันแทนที่หนึ่งในนั้นด้วย `iptables-ipset-proto6` (ตามความคิดเห็นของคุณ) มันจะทำให้คุกไร้ประโยชน์ในทุกพอร์ต (รวมถึง 22) แม้ว่า `fail2ban-client status sshd` จะแสดงการแบนก็ตาม ฉันไม่สามารถบอกได้ว่าความแตกต่างระหว่างพวกเขาคืออะไร ฉันจะอ่านสั้น ๆ เกี่ยวกับเรื่องนี้ได้ที่ไหน :)
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา