Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: fail2ban - помогите разобраться  (Прочитано 4527 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн serhy

  • Автор темы
  • Новичок
  • *
  • Сообщений: 46
    • Просмотр профиля
fail2ban - помогите разобраться
« : 27 Ноября 2013, 21:19:57 »
Есть параметры etc/fail2ban/jail.conf
Есть фильтры /etc/fail2ban/filter.d
Есть правила реагирования /etc/fail2ban/action.d

Во многих руководствах написано, что по умолчанию защита от брутфорса для SSH включена сразу после установки.

Дефолтная конфигурация
[ssh]

enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 3
bantime = 600
У меня не работала защита от брутфорса пока не добавил строчку
action = iptables[name=sshd, port=ssh, protocol=tcp][ssh]

enabled  = true
port     = ssh
filter   = sshd
action = iptables[name=sshd, port=ssh, protocol=tcp]
         sendmail-whois[name=ssh, dest=****@yandex.ru, sender=fail2ban@***.ru]
logpath  = /var/log/auth.log
maxretry = 3
bantime = 600

Зачем нужна строчка
action = iptables[name=sshd, port=ssh, protocol=tcp]если существуют фильтры и правила реагирования? и если она нужна, почему она не добавлена по умолчанию?

Помогите исправить еще один момент - не банит если вводить логин пользователя который существует в системе, т.е. если знаешь логин пользователя можно брутить сколько угодно.
« Последнее редактирование: 27 Ноября 2013, 21:21:53 от serhy »

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: fail2ban - помогите разобраться
« Ответ #1 : 28 Ноября 2013, 16:18:53 »
serhy, версия дистрибутива, fail2ban и openssh-server?

(Нажмите, чтобы показать/скрыть)

Оффлайн serhy

  • Автор темы
  • Новичок
  • *
  • Сообщений: 46
    • Просмотр профиля
Re: fail2ban - помогите разобраться
« Ответ #2 : 29 Ноября 2013, 13:10:44 »
Действительно, продукт немного просрочился. На оф сайте уже 0.8.11 версия. Буду обновляться. Спасибо!
dpkg -s fail2ban
Version: 0.8.6-3wheezy2build0.12.04.1
dpkg -s openssh-server
Version: 1:5.9p1-5ubuntu1.1

что в репозиториях
sudo apt-cache show fail2ban | grep -i version
Version: 0.8.6-3wheezy2build0.12.04.1
sudo apt-cache show openssh-server | grep -i version
Version: 1:5.9p1-5ubuntu1.1
Version: 1:5.9p1-5ubuntu1

Openssh-server стоит трогать (обновлять)?

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: fail2ban - помогите разобраться
« Ответ #3 : 29 Ноября 2013, 13:14:42 »
Openssh-server стоит трогать (обновлять)?
Полагаю, если поддержка вашего дистрибутива ещё действует, то обновлений безопасности должно быть достаточно.

В идеале, можно вообще отключить парольную аутентификацию, оставив только по ключам.

Оффлайн serhy

  • Автор темы
  • Новичок
  • *
  • Сообщений: 46
    • Просмотр профиля
Re: fail2ban - помогите разобраться
« Ответ #4 : 29 Ноября 2013, 13:24:37 »
В идеале, можно вообще отключить парольную аутентификацию, оставив только по ключам.
да, это обязательно

Оффлайн serhy

  • Автор темы
  • Новичок
  • *
  • Сообщений: 46
    • Просмотр профиля
Re: fail2ban - помогите разобраться
« Ответ #5 : 03 Декабря 2013, 01:09:02 »
Обновил fail2ban до версии 0.8.11, строчка action не появилась, да и без нее все работает... как бы все
После обновления и настройки ssh рестартнул fail2ban, ввел имя пользователя который есть в системе - стал входить и четко как в аптеке после 3х неправильных паролей получил бан. После сегодняшней перезагрузки банит только на вторую попутку подбора, думаю начинает уже работать правило findtime = 600.
Если такое же делать с ftp то банит всех.

Пока писал сиё сообщение вспомнил что совсем забыл про поле "backend", что лучше в нем выставить pyinotify, gamin, polling, auto? С моим французским я так понял, что лучше polling?

Оффлайн serhy

  • Автор темы
  • Новичок
  • *
  • Сообщений: 46
    • Просмотр профиля
Re: fail2ban - помогите разобраться
« Ответ #6 : 04 Августа 2014, 18:56:00 »
Сегодня решил проверить fail2ban забанив самого себя по ssh. Введя неправильный пароль раз 15 наконец словил бан.
В /var/log/auth.log
Aug  4 18:32:13 000-00-000-00 sshd[2728]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=000-00-000-000  user=root
Aug  4 18:32:15 000-00-000-00 sshd[2728]: Failed password for root from 000.00.000.000 port 25541 ssh2
Aug  4 18:32:47  sshd[2728]: last message repeated 4 times
Собственно fail2ban видит с этого куска лога только одну ошибку авторизации. Я так понимаю это идет компрессия?

Хотя логи proftpd выглядят как надо
Aug  4 18:47:04 000-00-000-000 proftpd: pam_unix(proftpd:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/ftpd3050 ruser=428 rhost=000-00-000-000  user=428
Aug  4 18:47:09 000-00-000-000 proftpd: pam_unix(proftpd:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/ftpd3051 ruser=428 rhost=000-00-000-000  user=428
Aug  4 18:47:14 000-00-000-000 proftpd: pam_unix(proftpd:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/ftpd3052 ruser=428 rhost=000-00-000-000  user=428

Недавно логи ssh были в порядке. Почему так произошло? Обновился ssh?

Пользователь решил продолжить мысль [time]04 Август 2014, 19:16:40[/time]:
Решение.
Это происходит если подбор паролей для ssh происходит быстро, то выдается сообщение last message repeated 4 times.
Отключаем RepeatedMsgReduction
vi /etc/rsyslog.conf
RepeatedMsgReduction off
Перезагружаем rsyslog, fail2ban
« Последнее редактирование: 04 Августа 2014, 19:22:57 от serhy »

Оффлайн serhy

  • Автор темы
  • Новичок
  • *
  • Сообщений: 46
    • Просмотр профиля
Re: fail2ban - помогите разобраться
« Ответ #7 : 09 Декабря 2014, 01:05:57 »
Продолжение...
На этот раз перестал банить при переборе паролей в ProFtpd.
Долго не мог понять из за чего. После недельного чтения гугла выяснил, что proftpd в лог пишет формат даты по русски, fail2banу это не нравится.
дек. 08 22:59:13 000-00-000-00.xхх.ххх.ххххх.ru proftpd[25256] 000-00-000-00.xхх.ххх.ххххх.ru (00-00-00-00.ххх.mts-хх.ru[000.00.00.00]): FTP session opened.
В файле запуска proftpd
vi /etc/init.d/proftpdперед строкой
start-stop-daemon --start --quiet --pidfile "$PIDFILE" --oknodo --exec $DAEMON -- -c $CONFIG_FILE $OPTIONSдобавил
export LANG="en_US.UTF-8" &&получилось
export LANG="en_US.UTF-8" &&  start-stop-daemon --start --quiet --pidfile "$PIDFILE" --oknodo --exec $DAEMON -- -c $CONFIG_FILE $OPTIONS
Перезагрузил proftpd, формат даты стал на английском
Dec 09 00:03:33 000-00-000-00.xхх.ххх.ххххх.ru proftpd[27013] 000-00-000-00.xхх.ххх.ххххх.ru 00-00-00-00.ххх.mts-хх.ru[000.00.00.00]): FTP session closed.
Несколько часов полет нормальный.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: fail2ban - помогите разобраться
« Ответ #8 : 09 Декабря 2014, 14:27:02 »
Аплодирую стоя. (и никакого сарказма)

 

Страница сгенерирована за 0.034 секунд. Запросов: 25.