O LFD sempre para de funcionar após ~ 30 dias, até eu dar /etc/csf/csf.pl -r

1

Quando dou /etc/csf/csf.pl -r , vejo muitas linhas sendo liberadas, então começo a receber os e-mails de notificação novamente (vários e-mails por dia), por exemplo:

Time:     Wed Sep 12 08:39:47 2012 +0800
IP:       221.13.104.162 (CN/China/-)
Failures: 5 (sshd)
Interval: 300 seconds
Blocked:  Permanent Block

Log entries:

Sep 12 08:39:25 MyHost sshd[9677]: Failed password for root from 221.13.104.162 port 51106 ssh2
Sep 12 08:39:28 MyHost sshd[9712]: Failed password for root from 221.13.104.162 port 51690 ssh2
Sep 12 08:39:32 MyHost sshd[9739]: Failed password for root from 221.13.104.162 port 52128 ssh2
Sep 12 08:39:36 MyHost sshd[9778]: Failed password for root from 221.13.104.162 port 52670 ssh2
Sep 12 08:39:40 MyHost sshd[9821]: Failed password for root from 221.13.104.162 port 53155 ssh2

Depois de cerca de 30 dias, os e-mails param de chegar, é como se algo estivesse preenchido e exigisse que a mensagem voltasse a ser exibida novamente.

Eu não sei muito sobre CSF / LFD, mas eu teria imaginado que isso funcionaria de uma maneira FIFO, então ele deveria ser capaz de rodar indefinidamente dentro de um espaço finito.

Meu /etc/csf/version.txt diz 4.83

Meu gato / proc / versão diz Linux version 2.6.18-028stab066.8 (root@rhel5-64-build) (gcc version 4.1.2 20070626 (Red Hat 4.1.2-14)) #1 SMP Fri Nov 27 20:19:25 MSK 2009

    
por gus 12.09.2012 / 05:01

1 resposta

1

Por padrão, o Daemon de Falha de Login (LFD) bloqueará um IP temporariamente apenas tantas vezes para tentar forçar um serviço antes de bloquear permanentemente esse IP. Presumivelmente, nesse ponto, você não verá mais e-mails de notificação para bloqueios temporários. As configurações relacionadas estão em csf.conf. Procure por "LF_PERMBLOCK". Além disso, a ideia de FIFO está correta. O CSF bloqueará até um número máximo de IPs, conforme determinado pelas diretivas de configuração DENY_IP_LIMIT e DENY_TEMP_IP_LIMIT, no ponto em que o IP mais antigo (primeiro) bloqueado será desbloqueado em favor do mais novo ofensor.

Eu acredito que um reinício do CSF irá limpar as listas de bloqueio do LFD.

Eu recomendo ler os scripts de configuração e revisar seus logs para verificar se é isso que está acontecendo.

Fonte: link , csf.conf em link

    
por 20.10.2012 / 08:32