Perguntas sobre 'fail2ban'

___ qstntxt ___

Eu tenho algumas tentativas de retransmissão como estas no meu %code% (elas totalizam 281 tentativas de conexão em menos de 3 minutos):

%pre%

Eu acho que o filtro sasl (que está ativado) deve cuidar deles, mas o ip nunca é banido. Parece que não há correspondência com a expressão failregex no filtro sasl.conf:

%pre%

Alguma dica sobre o que está falhando aqui? Qualquer maneira de corrigir o problema?

Editar: Uma pergunta mais simples que poderia ser um começo para solucionar esse problema: os avisos de LOGIN SASL em %code% correspondem à expressão failregex? Eu realmente não sei como testá-lo, e eu não tenho conhecimento suficiente sobre a regex sintax para resolver isso sozinho.

Obrigado antecipadamente.

    
___
1
resposta

medidas a serem tomadas contra um ataque de amplificação de DNS

Recentemente descobri que meu servidor estava sendo usado como parte de um DNS DDOS. Basicamente, minha configuração do BIND permitia a recursão e era usada para atacar um determinado endereço IP usando spoofing de IP. Tomei as medidas necess...
19.11.2012 / 14:21
4
respostas

fail2ban não está funcionando na nova instalação do Ubuntu 14.04, por quê?

Após instalar e configurar o fail2ban, tentei fazer login no meu servidor através do ssh com uma senha incorreta. Depois de algumas tentativas, tentei com a senha correta com sucesso. Então, o fail2ban não baniu o ip do usuário permitindo que el...
22.05.2014 / 16:40
1
resposta

Regex para vários sshd Desconexão recebida de… [preauth]

Qual regex fail2ban detectaria logs como esses? Apr 9 08:48:28 server sshd[1856]: Received disconnect from 43.255.190.117: 11: [preauth] Apr 9 09:06:05 server sshd[1936]: Received disconnect from 43.255.191.159: 11: [preauth] Apr 9 09:06...
10.04.2015 / 01:45
4
respostas

Modifique fail2ban failregex para casar autenticações de chave pública com falha via ssh

fail2ban não reconhece logins ssh de chave pública com falha e suponho que isso possa ser resolvido modificando failregex de /etc/fail2ban/filter.d/sshd.config para corresponder à seguinte linha: <date> <time> <server-...
29.04.2015 / 14:26
1
resposta

Fail2ban não inicia [fechado]

Eu fiz algumas alterações no arquivo /etc/fail2ban/jail.local (uma cópia do /etc/fail2ban/jail.conf) e salvei, mas agora o fail2ban não inicia. Se eu apagar jail.local, comece de novo. Então o problema está nesse arquivo (jail.local) mas depois...
01.02.2015 / 20:01
3
respostas

Existe algum motivo para usar o fail2ban com logins de senha SSH desabilitados?

Estou configurando um servidor Ubuntu hospedado pela Linode. Estou percorrendo o guia de segurança deles e eles recomendam a instalação do fail2ban depois de desabilitar os logins SSH baseados em senha. Não vejo sentido em instalar o fail2...
07.05.2013 / 14:49
1
resposta

Como formato esta regex para que funcione no fail2ban?

Acabei de instalar o fail2ban no meu servidor CentOS em resposta a uma tentativa de força bruta do SSH. As expressões regulares padrão no arquivo sshd.conf do fail2ban não correspondem a nenhuma entrada no audit.log, que é onde o SSH parece esta...
05.04.2012 / 19:26
3
respostas

O fail2ban monitora os arquivos de log rotacionados?

O fail2ban continua monitorando arquivos de log rotacionados? Por exemplo, eu tenho um monitoramento de regra /var/log/fail2ban.log que é rotacionado automaticamente pelo sistema toda semana (7 dias). Eu quero ter uma regra que monitore os IP...
21.03.2013 / 17:38
6
respostas

fail2ban e denyhosts constantemente me banem no Ubuntu

Acabei de receber uma instância do Ubuntu no Linode. Para proteger o SSH, eu instalei o fail2ban (usando apt-get ), mas tive um problema: fail2ban continuou proibindo o meu IP (por durações limitadas, felizmente) mesmo que eu estivesse d...
05.06.2010 / 22:12
4
respostas

Fail2Ban não está adicionando regras de iptables

O Fail2Ban não está adicionando regras de iptables para bloquear invasores. Estou rodando o CentOS 6.5 (32 bits) Veja o que eu fiz: O fail2ban foi instalado via yum usando o repositório EPEL. copiei jail.conf para jail.local . E...
13.08.2014 / 11:59