Kirjoittaja Aihe: fail2ban ei toimi [Ratkaistu]  (Luettu 5334 kertaa)

deeq

  • Käyttäjä
  • Viestejä: 101
    • Profiili
fail2ban ei toimi [Ratkaistu]
« : 05.05.07 - klo:21.58 »
Elikkäs fail2ban ei bannaa ollenkaan kun testasin kirjautua väärin omalle servulle. Mistähän mahtaa johtua?

Ubuntu 6.10 server

Asennus: sudo apt-get install fail2ban

Liitteenä: /etc/fail2ban.conf

[ylläpito on poistanut liitteen]
« Viimeksi muokattu: 06.05.07 - klo:11.58 kirjoittanut deeq »

Vapaan koodin kananmuna

  • Käyttäjä
  • Viestejä: 1536
    • Profiili
Vs: fail2ban ei toimi
« Vastaus #1 : 05.05.07 - klo:22.28 »
pistä se konffifilu liitetiedostona niin ketjua pystyy vielä seuraamaan.
En Vastaa Vaikeisiin Kysymyksiin.

Vapaan koodin kananmuna

  • Käyttäjä
  • Viestejä: 1536
    • Profiili
Vs: fail2ban ei toimi
« Vastaus #2 : 05.05.07 - klo:22.47 »
Postaa tänne vielä /var/log/fail2ban.log
En Vastaa Vaikeisiin Kysymyksiin.

deeq

  • Käyttäjä
  • Viestejä: 101
    • Profiili
Vs: fail2ban ei toimi
« Vastaus #3 : 05.05.07 - klo:23.00 »
/var/log/fail2ban.log
Koodia: [Valitse]
2007-05-05 20:49:28,863 WARNING: Restoring firewall rules...
2007-05-05 20:49:28,873 INFO: Exiting...
2007-05-05 20:49:29,059 WARNING: Verbose level is 1
2007-05-05 20:49:29,061 INFO: Fail2Ban v0.6.1 is running
2007-05-05 20:49:29,065 INFO: Enabled sections: ['SSH']
2007-05-05 20:49:29,065 WARNING:  is not a valid IP address

Vapaan koodin kananmuna

  • Käyttäjä
  • Viestejä: 1536
    • Profiili
Vs: fail2ban ei toimi
« Vastaus #4 : 05.05.07 - klo:23.06 »
/var/log/fail2ban.log
Koodia: [Valitse]
2007-05-05 20:49:28,863 WARNING: Restoring firewall rules...
2007-05-05 20:49:28,873 INFO: Exiting...
2007-05-05 20:49:29,059 WARNING: Verbose level is 1
2007-05-05 20:49:29,061 INFO: Fail2Ban v0.6.1 is running
2007-05-05 20:49:29,065 INFO: Enabled sections: ['SSH']
2007-05-05 20:49:29,065 WARNING:  is not a valid IP address
127.0.0.1 ei kelpaa bannattavaksi osoitteeksi. Koita mennä siihen eth0:n inet osoitteeseen, sitten hyppää bannit päälle.
En Vastaa Vaikeisiin Kysymyksiin.

deeq

  • Käyttäjä
  • Viestejä: 101
    • Profiili
Vs: fail2ban ei toimi
« Vastaus #5 : 05.05.07 - klo:23.10 »
Joo siis ei se servu ole samalla koneella eli en kokeile 127.0.0.1.

deeq

  • Käyttäjä
  • Viestejä: 101
    • Profiili
Vs: fail2ban ei toimi
« Vastaus #6 : 06.05.07 - klo:11.58 »
Elikkäs lähti toimimaan kun lisäsin /etc/init.d/fail2ban tiedostoon rivin LANG=en_US.utf8

Melmacian

  • Käyttäjä
  • Viestejä: 868
  • Ubuntu Hardy
    • Profiili
Vs: fail2ban ei toimi [Ratkaistu]
« Vastaus #7 : 06.05.07 - klo:12.38 »
Yksi syy toimimattomuuteen voi olla se, että olet vaihtanut ssh:n pois oletus portista. Fail2Banin conffeihin voi kyllä asettaa vaihtoehtoisetkin portit.

Itse en kyllä hoksaa miten tuo LANG=en_US.utf8 voisi korjata ongelman.

deeq

  • Käyttäjä
  • Viestejä: 101
    • Profiili
Vs: fail2ban ei toimi [Ratkaistu]
« Vastaus #8 : 06.05.07 - klo:12.46 »
SSH kyllä pyörii oletus portissa. Logiin rupesi tulemaan jotain tämmöstä:
Koodia: [Valitse]
ERROR: time data did not match format: data=May 5 10:00:50 fmt=%b %d %H:%M:%S
ERROR: Please check the format and your locale settings."

Etsin tuolta fail2ban sivuilta infoo asiasta ja sieltä löyty jotain tietoo.

Mutta pääasia että toimii  :) kun noita koputteluja rupesi kertymään aika törkeen paljon.
« Viimeksi muokattu: 06.05.07 - klo:12.49 kirjoittanut deeq »

Melmacian

  • Käyttäjä
  • Viestejä: 868
  • Ubuntu Hardy
    • Profiili
Vs: fail2ban ei toimi [Ratkaistu]
« Vastaus #9 : 18.08.07 - klo:14.43 »
Löysinpä helpon vaihtoehdon Ubuntuforums.orgista tuolle fail2banille. Sama homma onnistuu kahdella iptables-komennolla:
Koodia: [Valitse]
$ sudo iptables -A INPUT -p tcp --dport ssh -m state --state NEW -m recent --set --name SSHBLOCK -j ACCEPT
$ sudo iptables -A INPUT -p tcp --dport ssh -m recent --update --seconds 600 --hitcount 4 --rttl --name SSHBLOCK -j DROP

Kirjoittelin asiasta ssh-palvelin-wikiartikkeliin, kohta Bruteforce-hyökkäykset. http://wiki.ubuntu-fi.org/Wiki/ssh-palvelin

Astardot

  • Käyttäjä
  • Viestejä: 142
    • Profiili
Vs: fail2ban ei toimi [Ratkaistu]
« Vastaus #10 : 01.11.07 - klo:22.37 »
Löysinpä helpon vaihtoehdon Ubuntuforums.orgista tuolle fail2banille. Sama homma onnistuu kahdella iptables-komennolla:
Koodia: [Valitse]
$ sudo iptables -A INPUT -p tcp --dport ssh -m state --state NEW -m recent --set --name SSHBLOCK -j ACCEPT
$ sudo iptables -A INPUT -p tcp --dport ssh -m recent --update --seconds 600 --hitcount 4 --rttl --name SSHBLOCK -j DROP

Kirjoittelin asiasta ssh-palvelin-wikiartikkeliin, kohta Bruteforce-hyökkäykset. http://wiki.ubuntu-fi.org/Wiki/ssh-palvelin

Pitäisikkö tuon toimia vaikka ssh-portti olisi muutettu??

Jostain syystä ei bannaa??

Melmacian

  • Käyttäjä
  • Viestejä: 868
  • Ubuntu Hardy
    • Profiili
Vs: fail2ban ei toimi [Ratkaistu]
« Vastaus #11 : 01.11.07 - klo:22.46 »
Löysinpä helpon vaihtoehdon Ubuntuforums.orgista tuolle fail2banille. Sama homma onnistuu kahdella iptables-komennolla:
Koodia: [Valitse]
$ sudo iptables -A INPUT -p tcp --dport ssh -m state --state NEW -m recent --set --name SSHBLOCK -j ACCEPT
$ sudo iptables -A INPUT -p tcp --dport ssh -m recent --update --seconds 600 --hitcount 4 --rttl --name SSHBLOCK -j DROP

Kirjoittelin asiasta ssh-palvelin-wikiartikkeliin, kohta Bruteforce-hyökkäykset. http://wiki.ubuntu-fi.org/Wiki/ssh-palvelin

Pitäisikkö tuon toimia vaikka ssh-portti olisi muutettu??

Jostain syystä ei bannaa??
Ei, vaihda "--dport ssh" -> "--dport numero".

Tosin tuossa on se ongelma, että se bannaa vaikka kirjautuisit hitcountin verran onnistuneesti sisään :P