Por que as falhas de bloqueio do fail2ban não são?

2

Esta abaixo é a saída do log do fail2ban. Nada mais aparece, mas no auth.log eu vejo como centenas de falhas para o login do usuário root (alguém é mau burro força bruta).

2011-07-06 01:48:16,249 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.3
2011-07-06 01:48:16,250 fail2ban.jail   : INFO   Creating new jail 'ssh'
2011-07-06 01:48:16,250 fail2ban.jail   : INFO   Jail 'ssh' uses poller
2011-07-06 01:48:16,251 fail2ban.filter : INFO   Added logfile = /var/log/auth.log
2011-07-06 01:48:16,252 fail2ban.filter : INFO   Set maxRetry = 3
2011-07-06 01:48:16,253 fail2ban.filter : INFO   Set findtime = 600
2011-07-06 01:48:16,253 fail2ban.actions: INFO   Set banTime = 600
2011-07-06 01:48:16,329 fail2ban.jail   : INFO   Jail 'ssh' started

Por que não está bloqueando-os? Eu não mudei (exceto o maxRetry) nada nas configurações - eu apenas instalei no Linux Debian Lenny e ele começou, mas não está bloqueando ninguém. : /
O que eu poderia fazer para consertar isso?

Eu posso compartilhar alguns dos ataques:

Jul  6 01:02:24 tornado sshd[19768]: Failed password for root from 200.63.212.41 port 43457 ssh2
Jul  6 01:02:26 tornado sshd[19771]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=www.gamavision.com  user=root
Jul  6 01:02:27 tornado sshd[19771]: Failed password for root from 200.63.212.41 port 43565 ssh2
Jul  6 01:02:29 tornado sshd[19773]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=www.gamavision.com  user=root
Jul  6 01:02:31 tornado sshd[19773]: Failed password for root from 200.63.212.41 port 43662 ssh2
Jul  6 01:02:32 tornado sshd[19775]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=www.gamavision.com  user=root

A propósito, isso muda alguma coisa que o horário do servidor é de 1 hora de folga como eu vejo? ; D

Editar:

Status for the jail: ssh
|- filter
|  |- File list:        /var/log/auth.log
|  |- Currently failed: 0
|  '- Total failed:     0
'- action
   |- Currently banned: 0
   |  '- IP list:
   '- Total banned:     0

Antes de instalar o fail2ban no auth.log, notei essas linhas:

reverse mapping checking getaddrinfo for server1.intensevps.com [94.75.242.39] failed - POSSIBLE BREAK-IN ATTEMPT!

Será que o fail2ban está em conflito com outra coisa? Eu só não sei o que é essa coisa que detectou a possível quebra na coisa. Agora ele não detecta nada quando o fail2ban é instalado.

    
por Rihards 06.07.2011 / 00:53

3 respostas

5

Eu tive exatamente o mesmo problema. Na verdade, o tempo não foi sincronizado.

dpkg-reconfigure tzdata
cp /usr/share/zoneinfo/Europe/Paris /etc/localtime
vim /etc/rsyslog.conf
#see all messages
$RepeatedMsgReduction off
service rsyslog restart
    
por 04.11.2011 / 11:03
0

Você precisa ativar o recurso para impedir que funcione corretamente. Basta executar "serviço fail2ban start"

    
por 06.07.2011 / 03:10
0

Tente com o "logpath" definido como "/ var / log / secure".

    
por 29.02.2012 / 12:28