fail2ban - regex เพิ่มเติมสำหรับตัวกรอง sshd

flowks

9/4/23 08:27

ขณะนี้ฉันกำลังพยายามตรวจจับความพยายามเข้าสู่ระบบ SSH ที่ล้มเหลวด้วยการรับรองความถูกต้องตามใบรับรอง (ใบรับรองถูกต้อง แต่รหัสผ่านผิด) โดยใช้ fail2ban เวอร์ชัน 0.11.2-2 (ทำงานบน Debian 11)

ดังนั้นฉันจึงสร้างไฟล์ใหม่ /etc/fail2ban/filter.d/sshd.local ด้วยเนื้อหา

[คำนิยาม]
failregex = %(ทราบ/failregex)s
            ^%(__prefix_line)sปิดการเชื่อมต่อโดยการตรวจสอบสิทธิ์ผู้ใช้ <F-USER>.+</F-USER> พอร์ต <HOST> \d+ \[preauth\]$

เพื่อไม่ให้กฎตัวกรองถูกเขียนทับในการอัปเดตในอนาคต

เพื่อทดสอบสิ่งนี้ ฉันทำให้เกิดสถานการณ์ด้วยตัวเอง 2-3 ครั้ง และยืนยันได้ด้วย sudo fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.local ที่ตัวกรองพบรายการบันทึก:

[88] ^(?:[])?\s*(?:<[^.]+.[^.]+>\s+)?(?:\S+\s+)?(?:kernel:\s ?[ *\d+.\d+]:?\s+)?(?:@vserver_\S+\s+)?(?:(?:(?:[\d+])?:\s+[[(]?sshd(? :(\S+))?[])]?:?|[[(]?sshd(?:(\S+))?[])]?:?(?:[\d+])?:?)\ s+)?(?:[รหัส \d+ \S+]\s+)?ปิดการเชื่อมต่อโดยการตรวจสอบผู้ใช้ .+ พอร์ต \d+ [preauth]$

แต่ไม่มีอะไรเกิดขึ้นกับสถานะตัวกรอง:

สถานะคุก: sshd
|- ตัวกรอง
| |- ล้มเหลวในขณะนี้: 0
| |- ทั้งหมดล้มเหลว: 0
| - รายการไฟล์: /var/log/auth.log
 - การกระทำ
   |- ถูกแบนในขณะนี้: 0
   |- ถูกแบนทั้งหมด: 0
    - รายการ IP ที่ถูกแบน:

คุณมีความคิดใด ๆ ที่ไม่ได้ผลที่นี่หรือที่อื่นที่ฉันควรดู?

258

0 + 0

ล้มเหลว 2 แบน

Score:0

Server

sebres

14/4/23 15:46

สามารถยืนยันด้วย fail2ban-regex ... /etc/fail2ban/filter.d/sshd.local ที่ตัวกรองพบรายการบันทึก

ตัวกรองเริ่มต้น (ในโหมด ปกติ) จะเพิกเฉยกับ RE อื่นที่มีอยู่แล้วซึ่งเป็นตัวช่วยในการพิจารณา IP ของเซสชัน (สำหรับข้อความอื่น ๆ ที่เกิดขึ้นในเซสชันเดียวกัน แต่ไม่มี IP) และจะหยุดโดย ร.อ.คนแรก ตรงกับข้อความ ในทางตรงกันข้าม ล้มเหลว 2 แบน-regex แสดง REs ที่ตรงกันและซ้ำกัน

คุณก็จะได้เห็นเช่นกัน 20) [88] ... ในเอาต์พุต เช่นเดียวกับ บรรทัด: N บรรทัด, 88 ละเว้น, X ตรงกัน, Y พลาด.

เพื่อให้บรรลุสิ่งนี้อย่างถูกต้อง (โดยไม่ต้องแก้ไขในเครื่องของคุณเลย):

ทั้งชุด filter = %(known/filter)s[publickey=ใดๆ] ใน sshd ติดคุก (เนื่องจากเวอร์ชันของคุณต้องรองรับอยู่แล้ว โปรดดูที่ https://github.com/fail2ban/fail2ban/discussions/3176#discussioncomment-1768538 สำหรับข้อมูลเพิ่มเติม).
หรือตั้งค่าง่ายๆ โหมด = ก้าวร้าว ใน sshd คุก.

เพื่อจัดการสิ่งนี้อย่างถูกต้อง (ด้วยการแก้ไขในเครื่องของคุณ):

ทั้งเขียนใหม่ mdre-ปกติอื่น ๆตัวอย่างเช่นใน jail.local:

[sshd]
ตัวกรอง = %(รู้จัก/ตัวกรอง)s[mdre-ปกติ-อื่นๆ=""]
failregex = %(ทราบ/failregex)s
            ^ ปิดการเชื่อมต่อโดย ...

หรือเขียน RE ที่กำหนดเองของคุณก่อน RE ดั้งเดิม... โปรดทราบว่าเวอร์ชัน Failed2ban ล่าสุดจะเรียงลำดับใหม่ (https://github.com/fail2ban/fail2ban/pull/3007):

failregex = ^ ปิดการเชื่อมต่อโดย ...
            %(ทราบ/failregex)s

และอย่าใช้ %(__prefix_line)s ใน ล้มเหลวregexเพราะมันถูกจัดการไปแล้ว คำนำหน้านามดังนั้นต้องเขียนแบบนี้:

- ^%(__prefix_line)sการเชื่อมต่อ ...
+ ^การเชื่อมต่อ ...

0 + 0

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: fail2ban - Additional regex for sshd filter

TH: fail2ban - regex เพิ่มเติมสำหรับตัวกรอง sshd

RO: fail2ban - expresie regex suplimentară pentru filtrul sshd

RU: fail2ban - Дополнительное регулярное выражение для фильтра sshd

VI: fail2ban - Biểu thức chính quy bổ sung cho bộ lọc sshd

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา