Ubuntu Suomen keskustelualueet
Ubuntun käyttö => Asentaminen ja käyttöönotto => Aiheen aloitti: deeq - 05.05.07 - klo:21.58
-
Elikkäs fail2ban ei bannaa ollenkaan kun testasin kirjautua väärin omalle servulle. Mistähän mahtaa johtua?
Ubuntu 6.10 server
Asennus: sudo apt-get install fail2ban
Liitteenä: /etc/fail2ban.conf
[ylläpito on poistanut liitteen]
-
pistä se konffifilu liitetiedostona niin ketjua pystyy vielä seuraamaan.
-
Postaa tänne vielä /var/log/fail2ban.log
-
/var/log/fail2ban.log
2007-05-05 20:49:28,863 WARNING: Restoring firewall rules...
2007-05-05 20:49:28,873 INFO: Exiting...
2007-05-05 20:49:29,059 WARNING: Verbose level is 1
2007-05-05 20:49:29,061 INFO: Fail2Ban v0.6.1 is running
2007-05-05 20:49:29,065 INFO: Enabled sections: ['SSH']
2007-05-05 20:49:29,065 WARNING: is not a valid IP address
-
/var/log/fail2ban.log
2007-05-05 20:49:28,863 WARNING: Restoring firewall rules...
2007-05-05 20:49:28,873 INFO: Exiting...
2007-05-05 20:49:29,059 WARNING: Verbose level is 1
2007-05-05 20:49:29,061 INFO: Fail2Ban v0.6.1 is running
2007-05-05 20:49:29,065 INFO: Enabled sections: ['SSH']
2007-05-05 20:49:29,065 WARNING: is not a valid IP address
127.0.0.1 ei kelpaa bannattavaksi osoitteeksi. Koita mennä siihen eth0:n inet osoitteeseen, sitten hyppää bannit päälle.
-
Joo siis ei se servu ole samalla koneella eli en kokeile 127.0.0.1.
-
Elikkäs lähti toimimaan kun lisäsin /etc/init.d/fail2ban tiedostoon rivin LANG=en_US.utf8
-
Yksi syy toimimattomuuteen voi olla se, että olet vaihtanut ssh:n pois oletus portista. Fail2Banin conffeihin voi kyllä asettaa vaihtoehtoisetkin portit.
Itse en kyllä hoksaa miten tuo LANG=en_US.utf8 voisi korjata ongelman.
-
SSH kyllä pyörii oletus portissa. Logiin rupesi tulemaan jotain tämmöstä:
ERROR: time data did not match format: data=May 5 10:00:50 fmt=%b %d %H:%M:%S
ERROR: Please check the format and your locale settings."
Etsin tuolta fail2ban (http://sourceforge.net/tracker/index.php?func=detail&aid=1457620&group_id=121032&atid=689044) sivuilta infoo asiasta ja sieltä löyty jotain tietoo.
Mutta pääasia että toimii :) kun noita koputteluja rupesi kertymään aika törkeen paljon.
-
Löysinpä helpon vaihtoehdon Ubuntuforums.orgista tuolle fail2banille. Sama homma onnistuu kahdella iptables-komennolla:
$ sudo iptables -A INPUT -p tcp --dport ssh -m state --state NEW -m recent --set --name SSHBLOCK -j ACCEPT
$ sudo iptables -A INPUT -p tcp --dport ssh -m recent --update --seconds 600 --hitcount 4 --rttl --name SSHBLOCK -j DROP
Kirjoittelin asiasta ssh-palvelin-wikiartikkeliin, kohta Bruteforce-hyökkäykset. http://wiki.ubuntu-fi.org/Wiki/ssh-palvelin
-
Löysinpä helpon vaihtoehdon Ubuntuforums.orgista tuolle fail2banille. Sama homma onnistuu kahdella iptables-komennolla:
$ sudo iptables -A INPUT -p tcp --dport ssh -m state --state NEW -m recent --set --name SSHBLOCK -j ACCEPT
$ sudo iptables -A INPUT -p tcp --dport ssh -m recent --update --seconds 600 --hitcount 4 --rttl --name SSHBLOCK -j DROP
Kirjoittelin asiasta ssh-palvelin-wikiartikkeliin, kohta Bruteforce-hyökkäykset. http://wiki.ubuntu-fi.org/Wiki/ssh-palvelin
Pitäisikkö tuon toimia vaikka ssh-portti olisi muutettu??
Jostain syystä ei bannaa??
-
Löysinpä helpon vaihtoehdon Ubuntuforums.orgista tuolle fail2banille. Sama homma onnistuu kahdella iptables-komennolla:
$ sudo iptables -A INPUT -p tcp --dport ssh -m state --state NEW -m recent --set --name SSHBLOCK -j ACCEPT
$ sudo iptables -A INPUT -p tcp --dport ssh -m recent --update --seconds 600 --hitcount 4 --rttl --name SSHBLOCK -j DROP
Kirjoittelin asiasta ssh-palvelin-wikiartikkeliin, kohta Bruteforce-hyökkäykset. http://wiki.ubuntu-fi.org/Wiki/ssh-palvelin
Pitäisikkö tuon toimia vaikka ssh-portti olisi muutettu??
Jostain syystä ei bannaa??
Ei, vaihda "--dport ssh" -> "--dport numero".
Tosin tuossa on se ongelma, että se bannaa vaikka kirjautuisit hitcountin verran onnistuneesti sisään :P