Perguntas sobre 'fail2ban'

___ qstntxt ___

Eu tenho algumas tentativas de retransmissão como estas no meu %code% (elas totalizam 281 tentativas de conexão em menos de 3 minutos):

%pre%

Eu acho que o filtro sasl (que está ativado) deve cuidar deles, mas o ip nunca é banido. Parece que não há correspondência com a expressão failregex no filtro sasl.conf:

%pre%

Alguma dica sobre o que está falhando aqui? Qualquer maneira de corrigir o problema?

Editar: Uma pergunta mais simples que poderia ser um começo para solucionar esse problema: os avisos de LOGIN SASL em %code% correspondem à expressão failregex? Eu realmente não sei como testá-lo, e eu não tenho conhecimento suficiente sobre a regex sintax para resolver isso sozinho.

Obrigado antecipadamente.

    
___
1
resposta

Como configurar o fail2ban para ler multi log in a jail?

Como posso configurar vários caminhos de log para a mesma regra? Estou tentando escrever uma sintaxe como esta: [apache-w00tw00t] enabled = true filter = apache-w00tw00t action = iptables-allports logpath = /var/log/apache*/*error.lo...
09.03.2013 / 19:40
6
respostas

Fail2Ban: já banido?

Eu tenho o Fail2Ban rodando no meu servidor Centos. (Config abaixo) No meu var / log / messages notei algo realmente estranho: Jun 19 12:09:32 localhost fail2ban.actions: INFO [postfix] 114.43.245.205 already banned Eu configurei o...
19.06.2014 / 12:23
5
respostas

Vale a pena o esforço para bloquear tentativas de login malsucedidas?

Vale a pena executar o fail2ban , sshdfilter ou ferramentas similares, que listam endereços IP que tentam e não conseguem se logar? Eu vi isso discutido que isto é um teatro de segurança num servidor "devidamente protegido". No entanto,...
29.12.2010 / 11:43
3
respostas

Banir endereços IPv6

Atualmente, estou acostumado a usar ferramentas como o fail2ban para manter o tráfego indesejado longe de meus servidores banindo endereços IPv4: muitas entradas de log ruins por IP, proíbem o IP. No entanto, quando o mundo completa a migraçã...
25.09.2014 / 12:19
6
respostas

Compartilhamento de IPs banidos por fail2ban

Estou usando o fail2ban em todos os servidores com serviços visíveis publicamente e me pergunto: Existe uma maneira fácil de compartilhar IPs proibidos entre hosts que eu controle? Existe um serviço que coleta e publica esses dados? T...
02.09.2014 / 12:20
8
respostas

Parar as notificações de parada / início do fail2ban

Se o servidor for reiniciado, ou mesmo se o fail2ban estiver parado / iniciar, ele enviará uma notificação. [asterisk-iptables] enabled = true filter = asterisk action = iptables-allports[name=ASTERISK, protocol=all] sendmail-...
08.04.2011 / 18:41
2
respostas

Instalando a partir do EPEL no Amazon EC2

Estou tentando instalar o fail2ban em nosso Amazon EC2 Linux AMI (CentOS). Eu sei que o fail2ban está no EPEL, então fiz o seguinte: wget http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm sudo rpm -Uvh epel-release*rpm...
08.04.2013 / 10:57
5
respostas

é fail2ban seguro? Melhor usar chaves ssh?

Estou em dúvida se devo usar a autenticação de chave ao fazer o login no SSH, ou apenas ir para o fail2ban + ssh (login de raiz desativado). O fail2ban é seguro ou é realmente melhor simplesmente ir em frente e gerar chaves e configurações em...
22.06.2010 / 16:31
1
resposta

Fail2Ban Corretamente tenta proibir o IP, mas o IP não é banido - a cadeia de iptables existe, mas não funciona

Funcionando no Ubuntu 14.04 Server. Portanto, eu configurei o fail2ban corretamente para processar /var/log/auth.log para tentativas de login do SSH. Após 3 tentativas malsucedidas, vejo isso no log do fail2ban: 2014-11-19 15:22:56,8...
19.11.2014 / 22:35
2
respostas

O log de Fail2ban preenchido com entradas dizendo “fail2ban.filter: WARNING Determinado IP usando DNS Lookup: ..”

Meu log do fail2ban em /var/log/fail2ban.log está completamente preenchido com entradas dizendo: fail2ban.filter : WARNING Determined IP using DNS Lookup: [IP address] Acho que isso pode ter começado depois que eu mudei minha porta ssh...
26.11.2013 / 14:20