Fail2ban: não é possível alterar a cadeia padrão

Navegue suas respostas
1

OK: então eu tenho o fail2ban instalado em uma máquina Debian 8.7: Eu tenho um iptables que se parece com isso: 

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N fail2ban-ssh-daily
-N fail2ban-ssh-permaban
-N fail2ban-ssh-yearban

-N fail2ban-sshd
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-sshd
-A fail2ban-sshd -j RETURN

ESTE 

-N fail2ban-sshd
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-sshd
-A fail2ban-sshd -j RETURN

onde o padrão é fail2ban.sshd - eu quero que as regras sejam nomeadas:

  • -N fail2ban-ssh-daily (para proibições padrão de fail2ban-sshd)
  • -N fail2ban-ssh-permaban (para proibições permanentes)
  • -N fail2ban-ssh-yearban (para proibições anuais)

Eu quero que a configuração padrão pare de adicionar fail2ban.sshd e eu quero usar o fail2ban para configurar jails que me permitirão:

  1. Configurar uma cadeia de proibição diária - As proibições diárias são excluídas após 24 horas (eu também quero os ips registrados, mas o /etc/fail2ban/ip.blocklist.name NÃO está registrando nenhuma proibição - Não fará nem mesmo o arquivo, e quando eu tocá-lo, ele permanece em zero - Eu quero 3 logs - Diário, anual e permaban - para que quando o limite adequado for atingido, o ip é banido, colocando-o na direita cadeia (diário, permaban, yearban) e, em seguida, faria um ip.blocklist.ssh-daily, ip.blocklist.ssh-yearban e ip.blocklist.ssh-permaban) Mas eu não posso me livrar do fail2ban.sshd chain - Eu gostaria de ver o Daily Bans em 'fail2ban-ssh-daily' Como faço isso e manter as cadeias que especifico?) Eu também quero ter certeza de que as regras do iptables também estão corretas.
  2. Configurar uma cadeia de proibição anual: as proibições anuais são para aqueles que tentam tentar entrar no meu servidor continuamente e continuam tentando todos os dias. Esses usuários seriam colocados em fail2ban-ssh-yearban e, em seguida, seu IP registrado e carregado no ip.blocklist.yearban. Esses usuários seriam banidos por 1 ano após 100 tentativas contra o meu servidor.
  3. Configurar uma cadeia PERMABAN: PERMA As proibições são aquelas que continuam tentando ataques contra o meu servidor, ou para os IPs que estão em uma lista das piores: China, Índia, etc. Esses IPs seriam colocados em fail2ban-ssh- PERMABAN, ter seus IPs registrados, colocados em hosts.deny e, em seguida, reportados ao badips.com ou qualquer que seja o nome do site. Eu acho que ele está definido para 500 attampts contra o meu servidor para este.

O problema é: Eu só vejo respostas bajadas para questões relacionadas ao fail2ban: Eu tenho que configurar o arquivo action.d / iptables-multiport, e todos os filtros que são necessários, mas eu quero configurar um iptables-ssh-daily , iptables-ssh-yearban e arquivos de configuração iptables-ssh-permaban para cada instância, mas eu tentei e falhei miseravelmente.

Eu também recebo um monte de lixo no /var/log/fail2ban.log, erros me dizendo que ele não baniu um endereço por alguma razão que eu não consigo descobrir - ele quebra o fail2ban a menos que eu o inicie e não mude nada - caso contrário, ele não adicionará ips às listas de bloqueio, sejam elas inexistentes ou não, e isso não será filtrado corretamente. Ele me enviará uma mensagem de que um IP foi banido, mas no log do failtoban, Recebo 6-7 do IP same que está sendo banido e ele não está registrado ou banido.

Alguém sabe como fazer o que eu estou querendo fazer? Eu quero acompanhar essas tentativas, mas o sistema não quer trabalhar direito a menos que deixo estoque.

Como faço para alterar o fail2ban para que eu consiga os seguintes nomes de cadeia e que o sistema adicione proibições às cadeias adequadas Daily, Yearly e Permaban?

Eles foram todos riscados em vermelho e o fail2ban.sshd ainda está lá. As edições no GREEN não foram úteis e não responderam às perguntas que fiz:

  1. Eu quero regras que usem: -N fail2ban-ssh-daily (para proibições padrão de fail2ban-sshd) -N fail2ban-ssh-permaban (para proibições permanentes) -N fail2ban-ssh-yearban (para proibições anuais) (Ele adicionou -N Fail2ban.sshd e esse é o único lugar que os IPs vão)
  2. Eu quero configurar os arquivos iptables para CADA bantipo e ter uma ip.blocklist para a cadeia em questão ip.blocklist.daily, ip.blocklist.yearly e ipblocklist.permaban

  3. Eu preciso de uma pequena ajuda com o iptables para que a proibição vá para a cadeia direita. Vou colocar o arquivo jail.local abaixo para meus jails que eu quero usar: 

    [ssh-daily]
enabled  = false
filter   = sshd
action   = iptables-ssh-daily[name=ssh-daily]
           sendmail-whois[name=SSH-Daily, dest=root@localhost, sender=root@localhost]
logpath  = %(sshd_log)s
maxretry = 10
findtime = 600
bantime  = 86400

[ssh-yearban]
enabled  = false
filter   = sshd
action   = iptables-ssh-yearban[name=ssh-yearban]
           sendmail-whois[name=SSH-Yearban, dest=root@localhost, sender=root@localhost]
logpath  = %(sshd_log)s
maxretry = 35
findtime = 3153600
bantime  = 3153600

[ssh-permaban]
enabled  = true
filter   = sshd
action   = iptables-ssh-permaban[name=ssh-permaban]
           sendmail-whois[name=SSH-PermaBan dest=root@localhost, sender=root@localhost]
logpath  = %(sshd_log)s
maxretry = 100
findtime = -3153600
bantime  = -3153600

As prisões devem funcionar, mas eu preciso ter certeza de que, para cada sub-rotina, ele esteja adicionando IPs às cadeias e listas de bloqueios diários, anuais e permabanos. Apenas erros em todo o lugar e eu tenho um monte de lixo em /var/log/fail2ban.log - Eu quero personalizar a configuração, mas não consigo fazê-lo se comportar.

Agora, alguém pode me dizer o que eu teria que fazer para editar o iptables com as regras certas, e me ajudar a ter certeza de que a linha de ação funciona?

    
por Brian Baker 31.03.2017 / 20:43

0 respostas

Tags

redirecionamento de saída não está funcionando Sudo executar shell script é um comportamento diferente comparado ao usuário direto executá-lo