ใช้ fail2ban เพื่อรักษาความปลอดภัยการเข้าสู่ระบบ vsftp:
คุก.local
[vsftpd]
เปิดใช้งาน = จริง
ค่าอาหาร = 600
หาเวลา = 5,000
สูงสุด = 1
พอร์ต = ftp,ftp-ข้อมูล
การดำเนินการ = iptables-หลายพอร์ต
logpath = /var/log/vsftpd/vsftpd.log
Regex ตรงกัน ดังที่คุณเห็นที่นี่:
fail2ban-regex /var/log/vsftpd/vsftpd.log /etc/fail2ban/filter.d/vsftpd.conf --print-all-matched
การทดสอบการทำงาน
=============
ใช้ไฟล์ตัวกรอง failregex : vsftpd, basedir: /etc/fail2ban
ใช้รูปแบบวันที่ : {^LN-BEG} : ตัวตรวจจับเริ่มต้น
ใช้ไฟล์บันทึก: /var/log/vsftpd/vsftpd.log
ใช้การเข้ารหัส : UTF-8
ผล
=======
Failregex: ทั้งหมด 23 รายการ
|- #) [# ของการเข้าชม] นิพจน์ทั่วไป
| 2) [23] ^ \[pid \d+\] \[[^\]]+\] FAIL LOGIN: Client "<HOST>"(?:\s*$|,)
`-
Ignoreregex: 0 ทั้งหมด
เทมเพลตวันที่เข้าชม:
|- [# ของการเข้าชม] รูปแบบวันที่
| [385] {^LN-BEG}(?:DAY )?MON Day %k:Minute:Second(?:\.Microseconds)?(?: ExYear)?
`-
บรรทัด: 385 บรรทัด 0 ละเว้น 23 ตรงกัน 362 พลาด
[ประมวลผลใน 0.03 วินาที]
|- เส้นที่ตรงกัน:
| วันพุธที่ 9 มีนาคม 08:36:06 น. 2022 [pid 2619415] [bla] FAIL LOGIN: Client "some_IP"
| วันพุธที่ 9 มีนาคม 08:36:13 น. 2022 [pid 2619420] [bla] FAIL LOGIN: Client "some_IP"
| วันพุธที่ 9 มีนาคม 08:36:18 น. 2022 [pid 2619422] [blaas] FAIL LOGIN: Client "some_IP"
| วันพุธที่ 9 มีนาคม 08:36:30 น. 2022 [pid 2619425] [blaas] FAIL LOGIN: Client "some_IP"
| วันพุธที่ 9 มีนาคม 08:36:37 น. 2022 [pid 2619508] [blaas] FAIL LOGIN: Client "some_IP"
| วันพุธที่ 9 มีนาคม 08:36:45 น. 2022 [pid 2619511] [blaas] FAIL LOGIN: Client "some_IP"
| วันพุธที่ 9 มีนาคม 08:36:53 น. 2022 [pid 2619514] [blaas] FAIL LOGIN: Client "some_IP"
| วันพุธที่ 9 มีนาคม 08:47:39 น. 2022 [pid 2620744] [blaas] FAIL LOGIN: Client "some_IP"
| วันพุธที่ 9 มีนาคม 08:47:47 น. 2022 [pid 2620746] [blaas] FAIL LOGIN: Client "some_IP"
| วันพุธที่ 9 มีนาคม 08:47:55 น. 2022 [pid 2620748] [blaas] FAIL LOGIN: Client "some_IP"
| วันพุธที่ 9 มีนาคม 08:48:03 น. 2022 [pid 2620763] [blaas] FAIL LOGIN: Client "some_IP"
| วันพุธที่ 9 มีนาคม 08:48:12 น. 2022 [pid 2620767] [blaas] FAIL LOGIN: Client "some_IP"
| วันพุธที่ 9 มีนาคม 08:48:12 น. 2022 [pid 2620766] [blaas] FAIL LOGIN: Client "some_IP"
| วันพุธที่ 9 มีนาคม 08:55:07 น. 2022 [pid 2621558] [blaas] FAIL LOGIN: Client "some_IP"
| วันพุธที่ 9 มีนาคม 08:55:15 น. 2022 [pid 2621560] [blaas] FAIL LOGIN: Client "some_IP"
| วันพุธที่ 9 มีนาคม 08:55:23 น. 2022 [pid 2621562] [blaas] FAIL LOGIN: Client "some_IP"
| วันพุธที่ 9 มีนาคม 08:55:23 น. 2022 [pid 2621564] [blaas] FAIL LOGIN: Client "some_IP"
| วันพุธที่ 9 มีนาคม 08:55:26 น. 2022 [pid 2621566] [blaas] FAIL LOGIN: Client "some_IP"
| วันพุธที่ 9 มีนาคม 09:36:56 น. 2022 [pid 2627379] [blaas] FAIL LOGIN: Client "some_IP"
| วันพุธที่ 9 มีนาคม 09:37:48 น. 2022 [pid 2627498] [blaas] FAIL LOGIN: Client "some_IP"
| วันพุธที่ 9 มีนาคม 09:37:57 น. 2022 [pid 2627500] [blaas] FAIL LOGIN: Client "some_IP"
| วันพุธที่ 9 มีนาคม 09:37:57 น. 2022 [pid 2627501] [blaas] FAIL LOGIN: Client "some_IP"
| วันพุธที่ 9 มีนาคม 09:37:58 น. 2022 [pid 2627504] [blaas] FAIL LOGIN: Client "some_IP"
`-
บรรทัดที่ไม่ได้รับ: พิมพ์มากเกินไป ใช้ --print-all-missed เพื่อพิมพ์ทั้งหมด 362 บรรทัด
การตรวจสอบด้วย Failed2ban cli / สถานะไคลเอนต์ Failed2ban vsftpd
สถานะคุก: vsftpd
|- ตัวกรอง
| |- ล้มเหลวในขณะนี้: 0
| |- ทั้งหมดล้มเหลว: 0
| `- บันทึกตรงกับ:
`- การกระทำ
|- ถูกแบนในขณะนี้: 0
|- ถูกแบนทั้งหมด: 0
`- รายการ IP ที่ถูกแบน:
ความคิดใดที่อาจทำให้สิ่งนี้ไม่ห้าม IP ที่ "ตรงกัน" / วิธีแก้ไขข้อบกพร่องเพิ่มเติม
ความคิดใดที่อาจทำให้สิ่งนี้ไม่ห้าม IP ที่ "ตรงกัน" / วิธีแก้ไขข้อบกพร่องเพิ่มเติม
ผิด แบ็กเอนด์ (ถ้ามันเป็น ระบบ ตามค่าเริ่มต้นในระบบของคุณ)?
ลองระบุ แบ็กเอนด์ = อัตโนมัติ สำหรับคุกนี้ (มันจะเลือกแบ็กเอนด์การตรวจสอบที่เกี่ยวข้องกับไฟล์โดยอัตโนมัติ)
สำหรับสาเหตุที่เป็นไปได้อื่น ๆ โปรดดูที่ https://github.com/fail2ban/fail2ban/wiki/How-fail2ban-works
ทำไมถึงคิดว่าไม่ห้าม? ความจริงมันไม่ได้ห้าม ตอนนี้ ไม่ได้หมายความว่าคุกใช้ไม่ได้
ฉันเห็นรูปแบบเฉพาะในบันทึกของคุณสำหรับคุก บลาๆ: หกครั้งติดต่อกัน จากนั้น ความล่าช้าบางอย่าง (ประมาณ 10 นาที) จากนั้นลองอีกครั้งหกครั้ง จากนั้นดีเลย์เล็กน้อย จากนั้นลองอีกครั้งหกครั้ง...
สิ่งนี้สามารถตีความได้สองวิธี:
แบนเป็นเวลา 10 นาทีหลังจากพยายาม 6 ครั้ง จากนั้นนำการห้ามออก
คุณต้องเผชิญกับ ฉลาด บอตซึ่งรู้เกี่ยวกับพฤติกรรมทั่วไปของ fail2ban และสามารถกำหนดการตั้งค่าคุกได้ (จำนวนครั้งในการพยายามแบนในช่วงเวลาใด) บอทดังกล่าวมีอยู่ค่อนข้างนาน ดังนั้นมันอาจจะแค่ปรับตัวเองไม่ให้สะดุดการกระทำการแบน
ในการแก้ไขกรณีเหล่านั้น คุณต้องเปิดใช้งาน ซ้ำ คุกซึ่งสแกนไฟล์บันทึกของ Fail2ban ค้นหาที่อยู่ที่ถูกแบนและยกเลิกการแบนหลายครั้งเกินไป (เช่น ห้าครั้งต่อวัน) และแบนพวกมัน เป็นเวลานานเหมือนทั้งเดือน ในกรณีที่สอง คุณต้องเพิ่มขีดจำกัดการจำคุกให้มากขึ้น เพื่อให้สามารถจับบอทด้วยการทำซ้ำก่อนที่มันจะมีโอกาสกำหนดการตั้งค่าคุกของคุณ
อ่านเสมอ ไฟล์บันทึก (บางที /var/log/fail2ban.log) ไม่ใช่ตัวช่วยจับคู่ regex ตัวช่วยนั้นได้รับการออกแบบอย่างแม่นยำเพื่อตรวจแก้จุดบกพร่องของแมตช์ ซึ่งทำให้เกิดการปะทะ การแก้ไขจุดบกพร่องพฤติกรรมการแบนไม่ได้ช่วยอะไรเมื่อโปรแกรมจับคู่ regex ได้รับการแก้ไขแล้วและทำงานอย่างถูกต้อง
ฉันอ่านคำถามของคุณอีกครั้งและสังเกตเห็นคำจำกัดความของคุก: เวลาแบนกำหนดไว้ที่ 10 นาทีจริงๆ ถ้าฉันสามารถระบุได้โดยไม่ต้องดูการตั้งค่า ทำไมบอทถึงทำไม่ได้
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
