O Fail2Ban pode reconhecer logins com falha em contas bloqueadas?

Question

O Fail2Ban pode reconhecer logins com falha em contas bloqueadas?

#1 resposta do (1 votos)
#2 resposta do (0 votos)

2

Eu tranquei a conta root no meu servidor com passwd -l root e, assim, uma tentativa de login resulta no seguinte em /var/log/auth.log :

User root not allowed because account is locked

O Fail2Ban não os seleciona e, portanto, as tentativas continuam por longos períodos. Como posso ajustar o Fail2Ban para reconhecer isso?

Exemplo de mensagem completa:

Apr 10 13:32:28 server sshd[pid]: User root not allowed because account is locked

fail2ban

por Johnny C 10.04.2013 / 12:04

2 respostas

Tags fail2ban

Puppet: Crie um diretório no nfs share com root_squash set Redirecionar HTTP para HTTPS obtendo Conexão Recusada

score 1 · Answer 1

Então você está tentando bloquear todos os IPs que tentam logar como root? Imagino que a maioria das tentativas de invasão não direcionadas tentará primeiro fazer login como root e, em seguida, tente contas inexistentes suficientes para que o IP seja banido.

Se este não for o caso, talvez você deva mudar sua abordagem.

Eu acho que uma opção melhor do que bloquear o root seria desativar o login externo como root através da configuração do sshd. Isso pode resultar em tentativas de login como root desencadeando uma mensagem de segurança que o fail2ban pode usar.

score 0 · Answer 2

O Fail2ban não poderá trabalhar com as informações fornecidas, pois não há < HOST > informações para bloquear.

< HOST > informação é um endereço IP ou nome de host do qual o ataque ocorre, o fail2ban usa essas informações para atualizar a configuração do firewall, sem que não haja nada a fazer.