fail2ban не блокирует ssh + web ubuntu 14.04.01

[djrust]

Добрый вечер.

Что то упарился я....подскажите....

ftp блокирует,а web +ssh нет

Код: [Выделить]

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
#ignoreip = 127.0.0.1/8

# "bantime" is the number of seconds that a host is banned.
bantime  = 600

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime = 600
maxretry = 3

# HTTP servers
#

[apache]

enabled  = false
port     = http,https
filter   = apache-auth
logpath  = /var/log/apache2/error.log
maxretry = 3

# default action is now multiport, so apache-multiport jail was left
# for compatibility with previous (<0.7.6-2) releases
[apache-multiport]

enabled   = true
port      = http,https
filter    = apache-auth
logpath   = /var/log/apache*/*error.log
maxretry  = 3

[vsftpd]

enabled  = true
port     = ftp,ftp-data,ftps,ftps-data
filter   = vsftpd
logpath  = /var/log/vsftpd.log
# or overwrite it in jails.local to be
# logpath = /var/log/auth.log
# if you want to rely on PAM failed login attempts
# vsftpd's failregex should match both of those formats
maxretry = 3

[ssh]

enabled  = true
port     = 3399
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 3

Код: [Выделить]

[Sun Dec 21 23:19:10.805384 2014] [auth_basic:error] [pid 3612] [client ip:51935] AH01617: user stat: authentication failure for "/lightsquid": Password Mismatch
[Sun Dec 21 23:19:11.931110 2014] [auth_basic:error] [pid 3612] [client ip:51935] AH01617: user stat: authentication failure for "/lightsquid": Password Mismatch
[Sun Dec 21 23:19:12.802513 2014] [auth_basic:error] [pid 3612] [client ip:51935] AH01617: user stat: authentication failure for "/lightsquid": Password Mismatch
[Sun Dec 21 23:19:13.209279 2014] [auth_basic:error] [pid 3612] [client ip:51935] AH01617: user stat: authentication failure for "/lightsquid": Password Mismatch
[Sun Dec 21 23:19:13.603503 2014] [auth_basic:error] [pid 3612] [client ip:51935] AH01617: user stat: authentication failure for "/lightsquid": Password Mismatch


Код: [Выделить]

2014-12-21 23:19:42,335 fail2ban.jail   : INFO   Jail 'ssh' started
2014-12-21 23:19:42,337 fail2ban.jail   : INFO   Jail 'apache-multiport' started
2014-12-21 23:19:42,339 fail2ban.jail   : INFO   Jail 'vsftpd' started
2014-12-21 23:20:36,371 fail2ban.server : INFO   Stopping all jails
2014-12-21 23:20:36,443 fail2ban.jail   : INFO   Jail 'vsftpd' stopped
2014-12-21 23:20:37,413 fail2ban.jail   : INFO   Jail 'ssh' stopped
2014-12-21 23:20:37,427 fail2ban.jail   : INFO   Jail 'apache-multiport' stopped
2014-12-21 23:20:37,428 fail2ban.server : INFO   Exiting Fail2ban
2014-12-21 23:20:37,825 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.11
2014-12-21 23:20:37,826 fail2ban.jail   : INFO   Creating new jail 'ssh'
2014-12-21 23:20:37,848 fail2ban.jail   : INFO   Jail 'ssh' uses pyinotify
2014-12-21 23:20:37,868 fail2ban.jail   : INFO   Initiated 'pyinotify' backend
2014-12-21 23:20:37,869 fail2ban.filter : INFO   Added logfile = /var/log/auth.log
2014-12-21 23:20:37,869 fail2ban.filter : INFO   Set maxRetry = 3
2014-12-21 23:20:37,870 fail2ban.filter : INFO   Set findtime = 600
2014-12-21 23:20:37,870 fail2ban.actions: INFO   Set banTime = 600
2014-12-21 23:20:37,901 fail2ban.jail   : INFO   Creating new jail 'apache-multiport'
2014-12-21 23:20:37,902 fail2ban.jail   : INFO   Jail 'apache-multiport' uses pyinotify
2014-12-21 23:20:37,906 fail2ban.jail   : INFO   Initiated 'pyinotify' backend
2014-12-21 23:20:37,907 fail2ban.filter : INFO   Added logfile = /var/log/apache2/error.log
2014-12-21 23:20:37,908 fail2ban.filter : INFO   Added logfile = /var/log/apache2/gw.site.ru.error.log
2014-12-21 23:20:37,909 fail2ban.filter : INFO   Added logfile = /var/log/apache2/wpad.site.ru.error.log
2014-12-21 23:20:37,909 fail2ban.filter : INFO   Set maxRetry = 3
2014-12-21 23:20:37,910 fail2ban.filter : INFO   Set findtime = 600
2014-12-21 23:20:37,910 fail2ban.actions: INFO   Set banTime = 600
2014-12-21 23:20:37,934 fail2ban.jail   : INFO   Creating new jail 'vsftpd'
2014-12-21 23:20:37,934 fail2ban.jail   : INFO   Jail 'vsftpd' uses pyinotify
2014-12-21 23:20:37,938 fail2ban.jail   : INFO   Initiated 'pyinotify' backend
2014-12-21 23:20:37,939 fail2ban.filter : INFO   Added logfile = /var/log/vsftpd.log
2014-12-21 23:20:37,940 fail2ban.filter : INFO   Set maxRetry = 3
2014-12-21 23:20:37,940 fail2ban.filter : INFO   Set findtime = 600
2014-12-21 23:20:37,941 fail2ban.actions: INFO   Set banTime = 600
2014-12-21 23:20:37,949 fail2ban.jail   : INFO   Jail 'ssh' started
2014-12-21 23:20:37,953 fail2ban.jail   : INFO   Jail 'apache-multiport' started
2014-12-21 23:20:37,955 fail2ban.jail   : INFO   Jail 'vsftpd' started
2014-12-21 23:23:08,137 fail2ban.actions: WARNING [vsftpd] Ban ip

Почему не блокирует...

хотя есть сервера на 10.04 и 12.04 там все прекрасно работает!

[bukass]

djrust,

[apache]

enabled  = false
port     = http,https

Код: [Выделить]

[ssh]

enabled  = true
port     = 3399
sshd слушает 3399 порт?

[djrust]

там есть мультипорт...ниже... он true
да и изменение на true ничего не дает

ну не 3399,но не стандартный....

[bukass]

djrust,

[ssh]

enabled  = true
port     = 3399
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 3

Так замени на необходимый.


Пользователь решил продолжить мысль 22 Декабря 2014, 07:51:45:iptables-save
?

[djrust]

у меня прописан необходимый....но не стандартный... в чем проблема то?
он же должен слушать тот который пропишу...по логам

Апач то не пашет....при стандартном
Пользователь решил продолжить мысль [time]22 Декабрь 2014, 10:20:14[/time]:

Код: [Выделить]

sudo iptables-save | grep fail2ban
:fail2ban-apache - [0:0]
:fail2ban-apache-multiport - [0:0]
:fail2ban-ssh - [0:0]
:fail2ban-vsftpd - [0:0]
-A INPUT -p tcp -m multiport --dports 21,20,990,989 -j fail2ban-vsftpd
-A INPUT -p tcp -m multiport --dports 80,443 -j fail2ban-apache-multiport
-A INPUT -p tcp -m multiport --dports 80,443 -j fail2ban-apache
-A INPUT -p tcp -m multiport --dports 3399 -j fail2ban-ssh
-A fail2ban-apache -j RETURN
-A fail2ban-apache-multiport -j RETURN
-A fail2ban-ssh -j RETURN
-A fail2ban-vsftpd -j RETURN

[bukass]

djrust,
По ssh атаки идут на 3399 порт, или на стандартный 22?

В настройках /etc/fail2ban/action.d/ порт блокировки стандартный?

iptables -L ?

Вообще блокировать нужно какой порт? Стандартный? Даже если атака на 3399?

[AnrDaemon]

djrust, не новичок вроде. А в шпионов играешь. Давай информацию как есть, а то испорченный телефон никому пользы не приносит.

[djrust]

В настройках /etc/fail2ban/action.d/ порт блокировки стандартный?

А там разве есть настройки портов?Протыкал ничего похожего не нашел....

по стандартному порту ssh Блокируется,по не стандартному тоже при записи
action   = iptables[name=SSH, port=3399, protocol=tcp]


Apache так и не заработал,хотя на 80 висит!

Код: [Выделить]

Options FollowSymLinks ExecCGI
DirectoryIndex index.cgi
AuthName "NEED PASSWORD"
AuthType Basic
AuthUserFile /var/www/gw.site.ru/lightsquid/.htpasswd
Require valid-user

Код: [Выделить]

[apache]
enabled  = true
port     = http,https
filter   = apache-auth
logpath  = /var/log/apache2/*error.log
maxretry = 3

# default action is now multiport, so apache-multiport jail was left
# for compatibility with previous (<0.7.6-2) releases
[apache-multiport]

enabled   = true
port      = http,https
filter    = apache-auth
logpath   = /var/log/apache2/*error.log
maxretry  = 3

[apache-noscript]

enabled  = true
port     = http,https
filter   = apache-noscript
logpath  = /var/log/apache2/*error.log
maxretry = 3

[apache-overflows]

enabled  = true
port     = http,https
filter   = apache-overflows
logpath  = /var/log/apache2/*error.log
maxretry = 2


 

Давай информацию как есть, а то испорченный телефон никому пользы не приносит.

Так я ничего и не скрываю...

[bukass]

djrust,
Тыкал или выкал?

В настройках изолятора смотрим дефолтное действие

banaction = iptables-multiport - т.е. если не указано другое действие, работает правило по умолчанию.

[ssh]

enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 2

Лезем в /etc/fail2ban/action.d/iptables-multiport.conf

Активация правил

actionstart = iptables -N fail2ban-<name>
              iptables -A fail2ban-<name> -j RETURN
              iptables -I <chain> -p <protocol> -m multiport --dports <port> -j fail2ban-<name>
Далее

actionban = iptables -I fail2ban-<name> 1 -s <ip> -j DROP - дропает неугодный адрес

Далее

name = default

# Option:  port
# Notes.:  specifies port to monitor - указан порт для мониторинга!
# Values:  [ NUM | STRING ]  Default:
#
port = ssh соответствие порта берется из /etc/services

Посмотри файл /etc/fail2ban/action.d/iptables-new.conf  можно создать свои настройки и натравить jail.local в параметрах banaction

banaction=iptables-new - где указать можно свой порт, протокол, цепочку (input/forward/output), да и до фига чего можно придумать.

[djrust]

Код: [Выделить]

[apache]
enabled  = true
port     = http,https
filter   = apache-auth
logpath  = /var/log/apache2/*error.log
maxretry = 3

# default action is now multiport, so apache-multiport jail was left
# for compatibility with previous (<0.7.6-2) releases
[apache-multiport]

enabled   = true
port      = http,https
filter    = apache-auth
logpath   = /var/log/apache2/*error.log
maxretry  = 3

[apache-noscript]

enabled  = true
port     = http,https
filter   = apache-noscript
logpath  = /var/log/apache2/*error.log
maxretry = 3

[apache-overflows]

enabled  = true
port     = http,https
filter   = apache-overflows
logpath  = /var/log/apache2/*error.log
maxretry = 2

Код: [Выделить]

[Tue Dec 23 00:49:44.960943 2014] [auth_basic:error] [pid 29597] [client 9:53719] AH01617: user test: authentication failure for "/lightsquid/": Password Mismatch
[Tue Dec 23 00:49:49.069199 2014] [auth_basic:error] [pid 29597] [client :53719] AH01617: user test: authentication failure for "/lightsquid/": Password Mismatch
[Tue Dec 23 00:49:52.158269 2014] [auth_basic:error] [pid 29597] [client 2:53719] AH01617: user test: authentication failure for "/lightsquid/": Password Mismatch
[Tue Dec 23 00:49:54.349912 2014] [auth_basic:error] [pid 29597] [client :53719] AH01617: user test: authentication failure for "/lightsquid/": Password Mismatch
[Tue Dec 23 00:49:56.339015 2014] [auth_basic:error] [pid 29597] [client :53719] AH01617: user test: authentication failure for "/lightsquid/": Password Mismatc


sudo iptables -L

Код: [Выделить]

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
fail2ban-vsftpd  tcp  --  anywhere             anywhere             multiport dports ftp,ftp-data,ftps,ftps-data
fail2ban-apache-overflows  tcp  --  anywhere             anywhere             multiport dports http,https
fail2ban-apache-noscript  tcp  --  anywhere             anywhere             multiport dports http,https
fail2ban-apache-multiport  tcp  --  anywhere             anywhere             multiport dports http,https
fail2ban-apache  tcp  --  anywhere             anywhere             multiport dports http,https
fail2ban-ssh-ddos  tcp  --  anywhere             anywhere             multiport dports ssh
fail2ban-ssh  tcp  --  anywhere             anywhere             multiport dports ssh

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain fail2ban-apache (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Chain fail2ban-apache-multiport (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Chain fail2ban-apache-noscript (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Chain fail2ban-apache-overflows (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Chain fail2ban-ssh (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Chain fail2ban-ssh-ddos (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Chain fail2ban-vsftpd (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere
Пользователь решил продолжить мысль [time]23 Декабрь 2014, 22:24:13[/time]:
Короче день еб.и над настройкой апача,пиление конфига fail2ban

Решение довольно простое)))Удалить fail2ban 0.8.11-1 и установка 0.9.1-1

root@gw:~# sudo dpkg -i init-system-helpers_1.18~bpo70+1_all.deb
https://packages.debian.org/ru/wheezy-backports/all/init-system-helpers/download

Код: [Выделить]

dpkg: предупреждение: снижение версии init-system-helpers с 1.18~nd13.10+1+nd14.04+1 до 1.18~bpo70+1
(Чтение базы данных … на данный момент установлено 122411 файлов и каталогов.)
Preparing to unpack init-system-helpers_1.18~bpo70+1_all.deb ...
Unpacking init-system-helpers (1.18~bpo70+1) over (1.18~nd13.10+1+nd14.04+1) ...
Настраивается пакет init-system-helpers (1.18~bpo70+1) …
Processing triggers for man-db (2.6.7.1-1ubuntu1) ...

root@gw:~# sudo dpkg -i fail2ban_0.9.1-1_all.deb
http://www.fail2ban.org/wiki/index.php/Downloads

Код: [Выделить]

(Чтение базы данных … на данный момент установлено 122411 файлов и каталогов.)
Preparing to unpack fail2ban_0.9.1-1_all.deb ...
Unpacking fail2ban (0.9.1-1) over (0.9.1-1) ...
Настраивается пакет fail2ban (0.9.1-1) …
 * Starting authentication failure monitor fail2ban                                                                                                                                   [ OK ]
Processing triggers for man-db (2.6.7.1-1ubuntu1) ...
Processing triggers for ureadahead (0.100.0-16) ...
Пользователь решил продолжить мысль [time]23 Декабрь 2014, 22:31:35[/time]:
так же решаем проблему

tail -f /var/log/fail2ban.log
 

Код: [Выделить]

2010-02-25 01:17:49,943 fail2ban.jail   : INFO   Jail 'sasl' started
 2010-02-25 01:17:50,086 fail2ban.actions.action: ERROR  iptables -N fail2ban-dovecot
 iptables -A fail2ban-dovecot -j RETURN
 iptables -I INPUT -p tcp -m multiport --dports 110,143,993,995 -j fail2ban-dovecot returned 200
 2010-02-25 01:17:50,087 fail2ban.actions.action: ERROR  iptables -N fail2ban-sasl
 iptables -A fail2ban-sasl -j RETURN
 iptables -I INPUT -p tcp -m multiport --dports 25,587 -j fail2ban-sasl returned 200
 2010-02-25 01:17:50,090 fail2ban.actions.action: ERROR  iptables -N fail2ban-proftpd
 iptables -A fail2ban-proftpd -j RETURN
 iptables -I INPUT -p tcp -m multiport --dports ftp -j fail2ban-proftpd returned 200

http://sourceforge.net/p/fail2ban/bugs/47/

ответ тут
https://www.progclub.org/blog/2012/02/18/fail2ban-actions-action-error/

edit /etc/fail2ban/actions.d/iptables-multiport.conf

Код: [Выделить]

actionstart =   sleep `perl -e 'print rand(3);'`
iptables -N fail2ban-<name>
iptables -A fail2ban-<name> -j RETURN
iptables -I INPUT -p <protocol> -m multiport --dports <port> -j fail2ban-<name>


[djrust]

столкнулся с проблемой и в 12.04.05
из коробки так же не заработал.
Инструкция так же,только ставим 0.8.11-1: all