Por que o fail2ban está encontrando, mas não está proibindo?

3

Eu notei algo estranho no meu servidor Ubuntu Xenial.
Tem SSH na porta padrão e tem fail2ban.
O Fail2ban está detectando tentativas de força bruta no servidor e está conectado de acordo:

2017-01-12 10:58:19,927 fail2ban.filter    [23119]: INFO    [sshd] Found x.x.x.x
2017-01-12 11:03:27,808 fail2ban.filter    [23119]: INFO    [sshd] Found x.x.x.x
2017-01-12 11:08:37,936 fail2ban.filter    [23119]: INFO    [sshd] Found x.x.x.x
2017-01-12 11:13:51,538 fail2ban.filter    [23119]: INFO    [sshd] Found x.x.x.x
2017-01-12 11:18:57,939 fail2ban.filter    [23119]: INFO    [sshd] Found x.x.x.x
2017-01-12 11:24:10,399 fail2ban.filter    [23119]: INFO    [sshd] Found x.x.x.x
2017-01-12 11:29:23,161 fail2ban.filter    [23119]: INFO    [sshd] Found x.x.x.x
2017-01-12 11:34:34,064 fail2ban.filter    [23119]: INFO    [sshd] Found x.x.x.x
2017-01-12 11:39:44,540 fail2ban.filter    [23119]: INFO    [sshd] Found x.x.x.x

x.x.x.x é o mesmo IP em todas as instâncias, e esse cara é apenas um nome de usuário aleatório, como visto em auth.log:

Jan 12 12:05:46 MYSERVER sshd[23579]: Invalid user journalist from x.x.x.x
Jan 12 12:05:46 MYSERVER sshd[23579]: input_userauth_request: invalid user journalist [preauth]
Jan 12 12:05:46 MYSERVER sshd[23579]: Received disconnect from x.x.x.x port 47995:11: Normal Shutdown, Thank you for playing [preauth]
Jan 12 12:05:46 MYSERVER sshd[23579]: Disconnected from x.x.x.x port 47995 [preauth]

O Fail2ban os vê, ele os lista como "Encontrados", mas não está proibindo. Alguma idéia?

Editar:

cat /etc/fail2ban/jail.d/myjails.local
[apache-auth]
enabled = true

[sshd-ddos]
enabled = true

[recidive]
enabled = true

[dovecot]
enabled = true

[postfix]
enabled=true

Os arquivos de configuração restantes são deixados como estão de acordo com os padrões do Ubuntu, ou seja, /etc/fail2ban/jail.conf tem:

[sshd]

port    = ssh
logpath = %(sshd_log)s


[sshd-ddos]
# This jail corresponds to the standard configuration in Fail2ban.
# The mail-whois action send a notification e-mail with a whois request
# in the body.
port    = ssh
logpath = %(sshd_log)s

e nós temos:

cat /etc/fail2ban/jail.d/defaults-debian.conf
[sshd]
enabled = true
    
por Waleed Hamra 12.01.2017 / 11:53

1 resposta

2

O Fail2ban parece estar legitimamente não banindo ninguém - Seu log fornecido não mostra ninguém excedendo os limites padrão que o xenial do Ubuntu envia com fail2ban.

Procure no seu /etc/fail2ban/jail.conf , na seção [DEFAULT] , há os parâmetros findtime (padrão 600 segundos , então 10 minutos) e maxretry (padrão 5 vezes , dentro dessa janela de localização). Significa que alguém que está tentando apenas algumas senhas por hora simplesmente não o acionará.

Note que você não precisa alterar este arquivo (e não deve, para poder atualizá-lo corretamente). Você pode colocar o bloco [DEFAULT] no seu /etc/fail2ban/jail.d/myjails.local , também:

[DEFAULT]
findtime = 3600
bantime = 3600
maxretry = 4
  • Olhe para o início do arquivo jail.conf , ele realmente dá algumas dicas sobre como e por quê.
  • Não se bloqueie.
  • Suas senhas devem ser strongs o suficiente para que você fique à vontade sabendo que há algumas pessoas tentando algumas senhas por hora sem encontrar nada em um milhão de anos.
por 13.01.2017 / 18:54