РЕШЕНО. fail2ban не банит

[DDDstart]

hi2all!
Система ubuntu 13.04, ssh висит на нестандартном порту (предположим, 12036).
Настройки fail2ban такие:

/etc/fail2ban/fail2ban.conf

(Нажмите, чтобы показать/скрыть)

Definition]
loglevel = 3
logtarget = /var/log/fail2ban.log
socket = /var/run/fail2ban/fail2ban.sock

cat /etc/fail2ban/jail.conf

(Нажмите, чтобы показать/скрыть)

[DEFAULT]
ignoreip = 127.0.0.1/8
bantime  = 180
maxretry = 2
backend = auto
usedns = warn
destemail = root@localhost
banaction = iptables-multiport
mta = sendmail
protocol = tcp
chain = INPUT
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
              %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"]
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
               %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s"]
action = %(action_)s
[ssh]
enabled  = true
port     = 12036
filter   = sshd
iptables[name=sshd, port=12036, protocol=tcp]
logpath  = /var/log/auth.log
maxretry = 2
bantime  = 180
[dropbear]
enabled  = false
port     = ssh
filter   = sshd
logpath  = /var/log/dropbear
maxretry = 6
[pam-generic]
enabled  = false
filter   = pam-generic
port     = all
banaction = iptables-allports
port     = anyport
logpath  = /var/log/auth.log
maxretry = 6
[xinetd-fail]
enabled   = false
filter    = xinetd-fail
port      = all
banaction = iptables-multiport-log
logpath   = /var/log/daemon.log
maxretry  = 2
[ssh-ddos]
enabled  = true
port     = 12036
filter   = sshd-ddos
iptables[name=sshd, port=12036, protocol=tcp]
logpath  = /var/log/auth.log
maxretry = 2
bantime  = 180
[apache]
enabled  = false
port     = http,https
filter   = apache-auth
logpath  = /var/log/apache*/*error.log
maxretry = 6
[apache-multiport]
enabled   = false
port      = http,https
filter    = apache-auth
logpath   = /var/log/apache*/*error.log
maxretry  = 6
[apache-noscript]
enabled  = false
port     = http,https
filter   = apache-noscript
logpath  = /var/log/apache*/*error.log
maxretry = 6
[apache-overflows]
enabled  = false
port     = http,https
filter   = apache-overflows
logpath  = /var/log/apache*/*error.log
maxretry = 2
[php-url-fopen]
enabled = false
port    = http,https
filter  = php-url-fopen
logpath = /var/www/*/logs/access_log
[lighttpd-fastcgi]
enabled = false
port    = http,https
filter  = lighttpd-fastcgi
logpath = /var/log/lighttpd/error.log
[lighttpd-auth]
enabled = false
port    = http,https
filter  = lighttpd-auth
logpath = /var/log/lighttpd/error.log
[vsftpd]
enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = vsftpd
logpath  = /var/log/vsftpd.log
maxretry = 6
[proftpd]
enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = proftpd
logpath  = /var/log/proftpd/proftpd.log
maxretry = 6
[pure-ftpd]
enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = pure-ftpd
logpath  = /var/log/auth.log
maxretry = 6
[wuftpd]
enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = wuftpd
logpath  = /var/log/syslog
maxretry = 6
[postfix]
enabled  = false
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log
[couriersmtp]
enabled  = false
port     = smtp,ssmtp
filter   = couriersmtp
logpath  = /var/log/mail.log
[courierauth]
enabled  = false
port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = courierlogin
logpath  = /var/log/mail.log
[sasl]
enabled  = false
port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = sasl
logpath  = /var/log/mail.log
[dovecot]
enabled = false
port    = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter  = dovecot
logpath = /var/log/mail.log
[named-refused-tcp]
enabled  = false
port     = domain,953
protocol = tcp
filter   = named-refused
logpath  = /var/log/named/security.log
[asterisk-tcp]
enabled  = false
filter   = asterisk
port     = 5060,5061
protocol = tcp
logpath  = /var/log/asterisk/messages
[asterisk-udp]
enabled  = false
filter   = asterisk
port     = 5060,5061
protocol = udp
logpath  = /var/log/asterisk/messages
[recidive]
enabled  = false
filter   = recidive
logpath  = /var/log/fail2ban.log
action   = iptables-allports[name=recidive]
           sendmail-whois-lines[name=recidive, logpath=/var/log/fail2ban.log]
bantime  = 604800  ; 1 week
findtime = 86400   ; 1 day
maxretry = 5

Проверяю, пытаюсь зайти под левыми логин-паролями, при третьем неверном вводе срабатывает конфиг ssh и разрывает соединение. При этом fail2ban должен банить при 2-ой неверной попытке, чего не происходит. Проверяю логи fail2ban:
2014-09-28 20:58:38,691 fail2ban.actions: WARNING [ssh] Ban МОЙ.IP.АД.РЕС
2014-09-28 20:59:02,728 fail2ban.actions: WARNING [ssh] МОЙ.IP.АД.РЕС already banned

Вывод iptables -n:
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
fail2ban-ssh  tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 22

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain fail2ban-ssh (1 references)
target     prot opt source               destination
DROP       all  --  МОЙ.IP.АД.РЕС        0.0.0.0/0
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

В цепочке INPUT порт почему-то 22, вместо нужного мне 12036!
Поэтому я могу после бана брутфорсить заново.
Как это можно поправить?

[bukass]

DDDstart,

fail2ban должен банить при 2-ой неверной попытке, чего не происходит

Тогда maxretry=1 (тут число повторов)

На счет загруженных правил

Код: [Выделить]

sudo iptables-save

[ArcFi]

Код: [Выделить]

grep -ER '22|ssh' /etc/fail2ban?

[DDDstart]

Тогда maxretry=1 (тут число повторов)
На счет загруженных правил

Код: [Выделить]

sudo iptables-save

Поставил maxretry=1 - все осталось по-прежнему - соединение разрывает sshd после третьей неудачной попытке авторизоваться.

iptables-save дает следующее (и это уже с учетом поправок, внесенных мною в action и filter по подсказке уважаемого ArcFi)

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12 on Mon Sep 29 07:01:39 2014
*filter
:INPUT ACCEPT [299:29238]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [192:83667]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A fail2ban-ssh -s 217.118.81.43/32 -j DROP
-A fail2ban-ssh -j RETURN
COMMIT

22 порт все-равно остается, хотя я его вырезал уже отовсюду, где только возможно в action и filter.

Пользователь решил продолжить мысль [time]29 Сентябрь 2014, 07:16:06[/time]:

Код: [Выделить]

grep -ER '22|ssh' /etc/fail2ban?

После внесенных изменений по замене порта получилось следующее:
grep -ER '22|ssh' /etc/fail2ban

(Нажмите, чтобы показать/скрыть)

/etc/fail2ban/jail.conf:[ssh]
/etc/fail2ban/jail.conf:filter   = sshd
/etc/fail2ban/jail.conf:iptables[name=sshd, port=12036, protocol=tcp]
/etc/fail2ban/jail.conf:port     = ssh
/etc/fail2ban/jail.conf:filter   = sshd
/etc/fail2ban/jail.conf:[ssh-ddos]
/etc/fail2ban/jail.conf:filter   = sshd-ddos
/etc/fail2ban/jail.conf:iptables[name=sshd, port=12036, protocol=tcp]
/etc/fail2ban/filter.d/sshd.conf:_daemon = sshd
/etc/fail2ban/filter.d/sshd.conf:            ^%(__prefix_line)s(?:pam_unix\(sshd:auth\):\s)?authentication failure; logname=\S* uid=\S* euid=\S* tty=\S* ruser=\S* rhost=<HOST>(?:\s+user=.*)?\s*$
/etc/fail2ban/filter.d/sshd-ddos.conf:failregex = sshd(?:\[\d+\])?: Did not receive identification string from <HOST>$
/etc/fail2ban/filter.d/pam-generic.conf:#_ttys_re=(?:ssh|pure-ftpd|ftp)
/etc/fail2ban/filter.d/common.conf:# EXAMPLES: pam_rhosts_auth, [sshd], pop(pam_unix)
/etc/fail2ban/filter.d/common.conf:# EXAMPLES: sshd[31607], pop(pam_unix)[4920]
/etc/fail2ban/filter.d/php-url-fopen.conf:# 66.185.212.172 - - [26/Mar/2009:08:44:20 -0500] "GET /index.php?n=http://eatmyfood.hostinginfive.com/pizza.htm? HTTP/1.1" 200 114 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"

В 4-ой строке port = ssh прописан для [dropbear], который находится в состоянии false.

[ArcFi]

Сервис fail2ban перезапускали после изменения конфигов?

[DDDstart]

ArcFi, спасибо!
Я как-то, видимо, криво перезапускал.
Сейчас рестартанул сервис и все зафурычило, как нужно.
Банит, как нужно.