O log de Fail2ban preenchido com entradas dizendo “fail2ban.filter: WARNING Determinado IP usando DNS Lookup: ..”

10

Meu log do fail2ban em /var/log/fail2ban.log está completamente preenchido com entradas dizendo:

fail2ban.filter : WARNING Determined IP using DNS Lookup: [IP address]

Acho que isso pode ter começado depois que eu mudei minha porta ssh ...

Alguma ideia de qual é a causa disso e como pará-lo?

    
por Dirk Calloway 26.11.2013 / 14:20

2 respostas

7

Tive o mesmo problema.

Solução simples: adicione a seguinte linha na parte superior do arquivo /etc/fail2ban/jail.conf , na seção [DEFAULT]

usedns = no

Para entender por que seu arquivo de registro está sendo preenchido com avisos, consulte a página a seguir no wiki do Fail2Ban . É basicamente para impedir que as pessoas que manipulam o registro PTR de seus IPs de ataque injetem valores falsos em seus registros.

    
por 24.03.2014 / 20:32
1

Verifique o registro PTR do [endereço IP] e compare o nome resolvido com o endereço IP original, ou seja,

drill -x ip_address or dig -x ip_address or host ip_address

Em seguida, compare o resultado com:

drill result or dig result or host result

Deve ser o mesmo. Se não for - o atacante alterou o PTR. Você pode modificar a diretiva usedns para "não" ou "avisar" em jail.conf .

    
por 24.03.2014 / 20:48