Perguntas sobre 'fail2ban'

Tags
___ qstntxt ___

Eu tenho algumas tentativas de retransmissão como estas no meu %code% (elas totalizam 281 tentativas de conexão em menos de 3 minutos):

%pre%

Eu acho que o filtro sasl (que está ativado) deve cuidar deles, mas o ip nunca é banido. Parece que não há correspondência com a expressão failregex no filtro sasl.conf:

%pre%

Alguma dica sobre o que está falhando aqui? Qualquer maneira de corrigir o problema?

Editar: Uma pergunta mais simples que poderia ser um começo para solucionar esse problema: os avisos de LOGIN SASL em %code% correspondem à expressão failregex? Eu realmente não sei como testá-lo, e eu não tenho conhecimento suficiente sobre a regex sintax para resolver isso sozinho.

Obrigado antecipadamente.

    
___
1
resposta

fail2ban com PermitRootLogin sem senha?

Eu tentei escolher um título que cobrisse o tópico: Por que devo usar o fail2ban (ou programas semelhantes) se eu tiver o meu PermitRootLogin definido como without-password ? Um administrador de sistemas muito confiável e experiente q...
26.03.2014 / 11:44
1
resposta

fail2ban ação personalizada para IPs de proibição permanente da China

Quando um endereço IP é banido, como posso verificar se o endereço IP proibido é da China? Se sim, adicione-o à lista de banimento permanente. Eu encontrei este guia que escreve o IP proibido para Arquivo. Razão: Estou recebendo muitos a...
08.12.2012 / 18:40
1
resposta

Configurações do Fail2ban após alterar a porta do ssh

Troquei minha porta ssh para 22000 e alterei as configurações de porta em /etc/fail2ban/jail.local para especificar a proibição de 22 e 22000, mas quando tentei não fazer o login 6 vezes, minha conexão foi cortada, mas consegui fazer login no...
26.11.2013 / 10:47
1
resposta

fail2ban falha em banir a maior parte do tempo, por que isso poderia acontecer?

Funciona, como 5 vezes em 3000 ou mais. Rodando no Debian instalado com o apt-get e adicionado somente seguindo o arquivo jail.local cat jail.local [ssh] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry...
01.08.2012 / 00:26
3
respostas

O jeito certo de bloquear automaticamente os ip's

O problema: Eu gerencio um site com muitas páginas geradas dinamicamente. Todos os dias bots do Google, Yahoo e outros motores de busca baixam como 100K + de páginas. E às vezes eu tenho problemas com "hackers" tentando baixar massivamente to...
27.09.2010 / 18:16
1
resposta

fail2ban para bloquear ataques de força bruta do Wordpress no wp-login.php

Existe uma maneira de configurar o fail para proibir o bloqueio no IP que atinge o wp-login muitas vezes? Eu tentei adicionar esta jail.local: [apache-wp-login] enabled = true action = iptables[name=wplogin, port=http, protocol=tcp]...
22.07.2014 / 19:57
1
resposta

O uso de referências anteriores nos filtros fail2ban é possível?

Ocasionalmente, vejo coleções de erros suspeitos de "Arquivo não encontrado" nos meus logs do Apache, basicamente usando o padrão File does not exist: /var/www/file, referer: http://my.server.com/file Em termos humanos: O arquivo não foi...
08.11.2013 / 23:07
1
resposta

fail2ban no servidor com contêineres LXC

O problema é modprobe e iptables não funcionam dentro de um contêiner LXC. LXC is the userspace control package for Linux Containers, a lightweight virtual system mechanism sometimes described as “chroot on steroids”. O erro iptables...
13.06.2012 / 00:01
2
respostas

fail2ban não processa a cadeia, embora as correspondências de regex

Tenho problemas ao configurar o fail2ban para verificar o log de erros do nginx em busca de entradas de autenticação http com falha. Mesmo que o failregex fornecido funcione, o fail2ban parece simplesmente ignorar a configuração do jail. Eu j...
02.09.2011 / 14:54
1
resposta

Qualquer forma não personalizada de gerenciar o iptables com o fail2ban e o libvirt + kvm?

Eu tenho um servidor Ubuntu 9.04 executando libvirt / kvm e fail2ban (para ataques SSH). O libvirt e o fail2ban integram-se ao iptables de diferentes maneiras. Libvirt usa (eu acho) alguma configuração XML e durante a inicialização (?) Conf...
14.04.2010 / 23:19