บรรจวบ เข้าสู่ระบบ
Score:0
Moso avatar Server

Fail2ban ดูเหมือนจะใช้งานได้ แต่เซิร์ฟเวอร์ยังคงได้รับการพยายามเชื่อมต่อ

ธง my
Moso

ล้มเหลว 2 แบน มิสเตอร์!

ดูเหมือนว่าทุกอย่างจะทำงานและได้รับการกำหนดค่าอย่างดี แต่เซิร์ฟเวอร์ยังคงได้รับการพยายามเชื่อมต่อ

[moso@matrix ~]$ สถานะ sudo systemctl ล้มเหลว 2 แบน
â fail2ban.service - บริการ Fail2Ban
     โหลดแล้ว: โหลดแล้ว (/usr/lib/systemd/system/fail2ban.service; เปิดใช้งาน; การตั้งค่าล่วงหน้าของผู้ขาย: ปิดใช้งาน)
     ใช้งานอยู่: ใช้งานอยู่ (ทำงาน) ตั้งแต่วันเสาร์ 2022-04-16 22:10:45 -03; 13 ชั่วโมงที่แล้ว
       เอกสาร: man:fail2ban(1)
    กระบวนการ: 332 ExecStartPre=/bin/mkdir -p /run/fail2ban (code=exited, status=0/SUCCESS)
   PID หลัก: 335 (fail2ban-เซิร์ฟเวอร์)
      งาน: 5 (จำกัด: 19183)
     หน่วยความจำ: 17.9M
        CPU: 1 นาที 945ms
     CGroup: /system.slice/fail2ban.service
             ââ335 /usr/bin/python /usr/bin/fail2ban-server -xf เริ่มต้น

16 เม.ย. 22:10:45 น. matrix systemd[1]: กำลังเริ่มบริการ Fail2Ban...
16 เม.ย. 22:10:45 น. matrix systemd[1]: เริ่มบริการ Fail2Ban
16 เม.ย. 22:10:45 น. เมทริกซ์ fail2ban-server[335]: เซิร์ฟเวอร์พร้อม



[moso@matrix ~]$ sudo cat /etc/fail2ban/jail.d/sshd.local
[sshd]
  เปิดใช้งาน = จริง
  ตัวกรอง = sshd
  banaction = iptables
  แบ็กเอนด์ = systemd
  สูงสุด = 3
  เวลาหา = 1d
  แบนไทม์ = 2w
  เพิกเฉย = 127.0.0.1/8 x1.y1.z1.w1/32 x2.y2.z2.w2/32



[moso@matrix ~]$ sudo ล้มเหลว 2ban-client สถานะ sshd
สถานะคุก: sshd
|- ตัวกรอง
| |- ล้มเหลวในขณะนี้: 1
| |- ทั้งหมดล้มเหลว: 10
| `- บันทึกตรงกับ: _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- การกระทำ
|- ถูกแบนในขณะนี้: 1
|- ถูกแบนทั้งหมด: 1
`- รายการ IP ที่ถูกแบน: 179.43.156.154



[moso@matrix ~]$ sudo iptables -L -n | เกรป 179.43.156.154
ปฏิเสธทั้งหมด -- 179.43.156.154 0.0.0.0/0 ปฏิเสธด้วย icmp-port-ไม่สามารถเข้าถึงได้



[moso@matrix ~]$ sudo cat /var/log/fail2ban.log
2022-04-16 22:10:45,655 fail2ban.server [335]: ข้อมูลเริ่มต้น Fail2ban v0.11.2
2022-04-16 22:10:45,657 fail2ban.observer [335]: INFO ผู้สังเกตการณ์เริ่มต้น...
2022-04-16 22:10:45,667 fail2ban.database [335]: INFO เชื่อมต่อกับฐานข้อมูลถาวรของ fail2ban '/var/lib/fail2ban/fail2ban.sqlite3'
2022-04-16 22:10:45,670 fail2ban.database [335]: คำเตือน สร้างฐานข้อมูลใหม่แล้ว รุ่น '4'
2022-04-16 22:10:45,670 fail2ban.jail [335]: INFO กำลังสร้างคุกใหม่ 'sshd'
2022-04-16 22:10:45,706 fail2ban.jail [335]: INFO Jail 'sshd' ใช้ systemd {}
2022-04-16 22:10:45,706 fail2ban.jail [335]: INFO เริ่มต้นแบ็กเอนด์ 'systemd'
2022-04-16 22:10:45,707 fail2ban.filter [335]: INFO maxLines: 1
2022-04-16 22:10:45,723 fail2ban.filtersystemd [335]: INFO [sshd] เพิ่มการจับคู่สมุดรายวันสำหรับ: '_SYSTEMD_UNIT=sshd.service + _COMM=sshd'
2022-04-16 22:10:45,723 fail2ban.filter [335]: INFO maxRetry: 3
2022-04-16 22:10:45,723 fail2ban.filter [335]: เวลาค้นหาข้อมูล: 86400
2022-04-16 22:10:45,724 fail2ban.actions [335]: INFO แบนเวลา: 1209600
2022-04-16 22:10:45,724 fail2ban.filter [335]: การเข้ารหัสข้อมูล: UTF-8
2022-04-16 22:10:45,725 fail2ban.jail [335]: INFO Jail 'sshd' เริ่มต้นแล้ว
2022-04-16 22:53:09,239 fail2ban.filter [335]: พบข้อมูล [sshd] 179.43.156.154 - 2022-04-16 22:53:08
2022-04-17 00:33:22,995 fail2ban.filter [335]: พบข้อมูล [sshd] 179.43.156.154 - 2022-04-17 00:33:22
2022-04-17 01:31:38,980 fail2ban.filter [335]: พบข้อมูล [sshd] 179.43.156.154 - 2022-04-17 01:31:38
2022-04-17 01:31:39,266 fail2ban.actions [335]: ประกาศ [sshd] แบน 179.43.156.154
2022-04-17 02:58:45,765 fail2ban.filter [335]: พบข้อมูล [sshd] 179.43.156.154 - 2022-04-17 02:58:45
2022-04-17 05:40:59,243 fail2ban.filter [335]: พบข้อมูล [sshd] 179.43.156.154 - 2022-04-17 05:40:58
2022-04-17 07:13:51,766 fail2ban.filter [335]: พบข้อมูล [sshd] 179.43.156.154 - 2022-04-17 07:13:51
2022-04-17 07:13:52,130 fail2ban.actions [335]: WARNING [sshd] 179.43.156.154 ถูกแบนแล้ว
2022-04-17 07:49:33,667 fail2ban.filter [335]: พบข้อมูล [sshd] 179.43.156.154 - 2022-04-17 07:49:33
2022-04-17 08:20:44,205 fail2ban.filter [335]: พบข้อมูล [sshd] 179.43.156.154 - 2022-04-17 08:20:44
2022-04-17 08:44:07,980 fail2ban.filter [335]: พบข้อมูล [sshd] 179.43.156.154 - 2022-04-17 08:44:07
179.43.156.154 ถูกแบนแล้ว 2022-04-17 08:44:08,129
2022-04-17 09:44:54,464 fail2ban.filter [335]: INFO [sshd] พบ 179.43.156.154 - 2022-04-17 09:44:54
...



[moso@matrix ~]$ Journalctl _SYSTEMD_UNIT=sshd.service
16 เม.ย. 22:10:15 matrix sshd[151093]: รับสัญญาณ 15; สิ้นสุด
-- บูต aa222dfff23f467ab30cd5125c7c3a55 --
16 เม.ย. 22:10:45 เมทริกซ์ sshd[333]: เซิร์ฟเวอร์กำลังฟัง 0.0.0.0 พอร์ต 2206
16 เม.ย. 22:53:08 matrix sshd[656]: การเชื่อมต่อจาก 179.43.156.154 port 40138 บน 38.105.209.109 port 2206 rdomain ""
16 เม.ย. 22:53:08 matrix sshd[656]: รูทผู้ใช้ไม่ถูกต้องจากพอร์ต 179.43.156.154 40138
16 เม.ย. 22:53:08 matrix sshd[656]: การเชื่อมต่อถูกปิดโดย root ผู้ใช้ที่ไม่ถูกต้อง root 179.43.156.154 port 40138 [preauth]
17 เม.ย. 00:33:22 matrix sshd[685]: การเชื่อมต่อจาก 179.43.156.154 พอร์ต 34498 บน 38.105.209.109 พอร์ต 2206 rdomain ""
17 เม.ย. 00:33:22 น. matrix sshd[685]: รูทผู้ใช้ไม่ถูกต้องจากพอร์ต 179.43.156.154 34498
17 เม.ย. 00:33:22 น. matrix sshd[685]: การเชื่อมต่อถูกปิดโดย root ของผู้ใช้ที่ไม่ถูกต้อง root 179.43.156.154 port 34498 [preauth]
17 เม.ย. 01:31:38 matrix sshd[699]: การเชื่อมต่อจาก 179.43.156.154 port 59372 บน 38.105.209.109 port 2206 rdomain ""
17 เม.ย. 01:31:38 matrix sshd[699]: รูทผู้ใช้ไม่ถูกต้องจากพอร์ต 179.43.156.154 59372
17 เม.ย. 01:31:38 น. matrix sshd[699]: การเชื่อมต่อถูกปิดโดย root ผู้ใช้ที่ไม่ถูกต้อง root 179.43.156.154 port 59372 [preauth]
17 เม.ย. 02:58:44 เมทริกซ์ sshd[722]: การเชื่อมต่อจาก 179.43.156.154 พอร์ต 57448 บน 38.105.209.109 พอร์ต 2206 rdomain ""
17 เม.ย. 02:58:45 น. matrix sshd[722]: รูทผู้ใช้ไม่ถูกต้องจากพอร์ต 179.43.156.154 57448
17 เม.ย. 02:58:45 น. matrix sshd[722]: การเชื่อมต่อถูกปิดโดย root ของผู้ใช้ที่ไม่ถูกต้อง root 179.43.156.154 port 57448 [preauth]
17 เมษายน 05:40:58 matrix sshd[760]: การเชื่อมต่อจาก 179.43.156.154 พอร์ต 54992 บน 38.105.209.109 พอร์ต 2206 rdomain ""
17 เม.ย. 05:40:58 น. matrix sshd[760]: รูทผู้ใช้ไม่ถูกต้องจากพอร์ต 179.43.156.154 54992
17 เม.ย. 05:40:58 น. matrix sshd[760]: การเชื่อมต่อถูกปิดโดย root ผู้ใช้ที่ไม่ถูกต้อง root 179.43.156.154 port 54992 [preauth]
17 เม.ย. 07:13:51 เมทริกซ์ sshd[777]: การเชื่อมต่อจาก 179.43.156.154 พอร์ต 59646 บน 38.105.209.109 พอร์ต 2206 rdomain ""
17 เม.ย. 07:13:51 น. matrix sshd[777]: รูทผู้ใช้ไม่ถูกต้องจากพอร์ต 179.43.156.154 59646
17 เม.ย. 07:13:51 น. matrix sshd[777]: การเชื่อมต่อถูกปิดโดย root ผู้ใช้ที่ไม่ถูกต้อง root 179.43.156.154 port 59646 [preauth]
17 เม.ย. 07:49:33 น. matrix sshd[789]: การเชื่อมต่อจาก 179.43.156.154 พอร์ต 33684 บน 38.105.209.109 พอร์ต 2206 rdomain ""
17 เม.ย. 07:49:33 น. matrix sshd[789]: รูทผู้ใช้ไม่ถูกต้องจากพอร์ต 179.43.156.154 33684
17 เม.ย. 07:49:33 น. matrix sshd[789]: การเชื่อมต่อถูกปิดโดย root ผู้ใช้ที่ไม่ถูกต้อง root 179.43.156.154 port 33684 [preauth]
17 เม.ย. 08:20:43 น. matrix sshd[801]: การเชื่อมต่อจาก 179.43.156.154 พอร์ต 55522 บน 38.105.209.109 พอร์ต 2206 rdomain ""
17 เม.ย. 08:20:44 เมทริกซ์ sshd[801]: รูทผู้ใช้ไม่ถูกต้องจากพอร์ต 179.43.156.154 55522
17 เม.ย. 08:20:44 น. matrix sshd[801]: การเชื่อมต่อถูกปิดโดย root ผู้ใช้ที่ไม่ถูกต้อง root 179.43.156.154 port 55522 [preauth]
17 เม.ย. 08:44:07 น. matrix sshd[805]: การเชื่อมต่อจาก 179.43.156.154 พอร์ต 39862 บน 38.105.209.109 พอร์ต 2206 rdomain ""
17 เม.ย. 08:44:07 น. matrix sshd[805]: รูทผู้ใช้ไม่ถูกต้องจากพอร์ต 179.43.156.154 39862
17 เม.ย. 08:44:07 น. matrix sshd[805]: การเชื่อมต่อถูกปิดโดย root ของผู้ใช้ที่ไม่ถูกต้อง root 179.43.156.154 port 39862 [preauth]
17 เม.ย. 09:44:54 เมทริกซ์ sshd[822]: การเชื่อมต่อจาก 179.43.156.154 พอร์ต 42592 บน 38.105.209.109 พอร์ต 2206 rdomain ""
17 เม.ย. 09:44:54 matrix sshd[822]: รูทผู้ใช้ไม่ถูกต้องจากพอร์ต 179.43.156.154 42592
17 เม.ย. 09:44:54 น. matrix sshd[822]: การเชื่อมต่อถูกปิดโดย root ผู้ใช้ที่ไม่ถูกต้อง root 179.43.156.154 port 42592 [preauth]
...

เหตุใด IP 179.43.156.154 จึงพยายามเชื่อมต่อต่อไปหากพบว่า fail2ban ใช้งานได้ และการเชื่อมต่อใดๆ จาก 179.43.156.154 ควรถูกปฏิเสธ (ดูผลลัพธ์ของ iptables ด้านบน)

48
0 + 0
Score:0
Moso avatar Server
ธง my
Moso

ปัญหาคือ... ฉัน!

ฉันสันนิษฐานผิดว่า fail2ban ทำการแบนพอร์ตที่ตรวจพบ (ตามที่แสดงด้านบน 2206)

อีกสิ่งหนึ่งที่นำฉันไปสู่ข้อสรุปที่ผิดคือผลลัพธ์ของ sudo iptables -L -n | เกรป 179.43.156.154.

ปฏิเสธทั้งหมด -- 179.43.156.154 0.0.0.0/0 ปฏิเสธด้วย icmp-port-ไม่สามารถเข้าถึงได้

ฉันไม่พิจารณาว่ากฎอยู่ในห่วงโซ่ใด ...

มันเป็นเพียงเพิ่มหนึ่งบรรทัดกับพอร์ตที่ฉันใช้บน sshd และปัญหา (โดยฉันเป็นต้นเหตุ) ได้รับการแก้ไขแล้ว

[peracchi@matrix ~]$ cat /etc/fail2ban/jail.d/sshd.local
[sshd]
  เปิดใช้งาน = จริง
  ตัวกรอง = sshd
  พอร์ต = 2206
  banaction = iptables
  แบ็กเอนด์ = systemd
  สูงสุด = 5
  เวลาหา = 1d
  แบนไทม์ = 30d
  เพิกเฉย = 127.0.0.1/8 a.b.c.d/32 x.y.z.w/32

âเป็นไปไม่ได้ที่คนจะเรียนรู้สิ่งที่เขาคิดว่าเขารู้อยู่แล้วâ â เอพิคเตตัส

0 + 0
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา