Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: Прошу помощи с fail2ban  (Прочитано 3162 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн BAKT

  • Автор темы
  • Участник
  • *
  • Сообщений: 112
    • Просмотр профиля
Прошу помощи с fail2ban
« : 09 Май 2012, 13:50:05 »
Стояла на удалённом сервере Ubuntu Server 11.04, стоял на ней fail2ban и всё было нормально.
Решил обновиться до версии 12.04, заодно и пакеты все обновить. Поставил, настроил...
Вот только появилась проблема: fail2ban работает только какое-то время после рестарта машины, а потом перестаёт "ловить мышей".
При перезапуске в логи пишется только инфа о том, что он перезапустился и всё. Дальше тишина. Из фильтров в основном использую фильтр для ssh и апача.

Jail's:

[ssh]
enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 1
action = iptables[name=sshd, port=ssh, protocol=tcp]
         sendmail-whois[name=ssh, dest=******@gmail.com, sender=fail2ban@localhost]
bantime = 36000

[apache-myadmin]
enabled = true
port = http,https
filter   = apache-myadmin
logpath = /var/log/apache2/error.log
action = iptables-multiport[name=apache-myadmin, port="http,https", protocol=tcp]
         sendmail-whois-lines[logpath=/var/log/apache2/error.log, name=apache-myadmin, dest=********@gmail.com, sender=fail2ban@localhost]
maxretry = 0
bantime = 86400


Сами фильтры:

SSH

^%(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$
^%(__prefix_line)s(?:error: PAM: )?User not known to the underlying authentication module for .* from <HOST>\s*$
^%(__prefix_line)sFailed (?:password|publickey) for .* from <HOST>(?: port \d*)?(?: ssh\d*)?$
^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>\s*$
^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from <HOST>\s*$
^%(__prefix_line)sUser .+ from <HOST> not allowed because not listed in AllowUsers$
^%(__prefix_line)sauthentication failure; logname=\S* uid=\S* euid=\S* tty=\S* ruser=\S* rhost=<HOST>(?:\s+user=.*)?\s*$
^%(__prefix_line)srefused connect from \S+ \(<HOST>\)\s*$
^%(__prefix_line)sAddress <HOST> .* POSSIBLE BREAK-IN ATTEMPT!*\s*$
^%(__prefix_line)sUser .+ from <HOST> not allowed because none of user's groups are listed in AllowGroups\s*$
^$(__prefix_line)sFailed password for .* from <HOST>(?: port \d*)?(?: ssh\d*)?s*$

Апач


[Definition]
docroot = /var/www
badadmin = PMA|phpmyadmin|myadmin|mysql|mysqladmin|sqladmin|mypma|admin|xampp|mysqldb|mydb|db|pmadb|phpmyadmin1|phpmyadmin2|PhpMyAdmin|MyAdmin|admin|
docignore = /


failregex = [[]client <HOST>[]] File does not exist: %(docroot)s/(?:%(badadmin)s)


ignoreregex = [[]client <HOST>[]] File does not exist: /var/www/update/web/undefined*.
              [[]client <HOST>[]] File does not exist: /var/www/favicon.ico

В чём может быть проблема?

Оффлайн BAKT

  • Автор темы
  • Участник
  • *
  • Сообщений: 112
    • Просмотр профиля
Re: Прошу помощи с fail2ban
« Ответ #1 : 10 Май 2012, 15:13:18 »
Спасибо всем за жаркое обсуждение и дельные советы.
Проблему решил сам.

Оффлайн v1t83

  • Новичок
  • *
  • Сообщений: 8
    • Просмотр профиля
Re: Прошу помощи с fail2ban
« Ответ #2 : 06 Июль 2012, 07:31:01 »
Всем привет!
Прошу помощи с fail2ban, установил через apt-get на ubuntu 12.04, показывает что версия 0.8.6. в секции [ssh] установлено enable=yes,
в лошах при запуске пишет
2012-07-06 11:11:22,649 fail2ban.jail   : INFO   Creating new jail 'ssh'
2012-07-06 11:11:22,650 fail2ban.jail   : INFO   Jail 'ssh' uses poller
2012-07-06 11:11:22,659 fail2ban.filter : INFO   Added logfile = /var/log/auth.log
2012-07-06 11:11:22,659 fail2ban.filter : INFO   Set maxRetry = 6
2012-07-06 11:11:22,660 fail2ban.filter : INFO   Set findtime = 600
2012-07-06 11:11:22,660 fail2ban.actions: INFO   Set banTime = 600
2012-07-06 11:11:22,695 fail2ban.jail   : INFO   Jail 'ssh' started
И все, делаю попытки конектится с разных адресов  в логи больше ничего не пишется. Хотя при таких же настройках для 10.10 и fail2ban версии 0.8.4 каждый раз когда меняется auth.log выдает сообщение
fail2ban.filter : DEBUG  /var/log/auth.log has been modified
Такое ощущение что в 12.04 не мониторится файл auth.log
Подскажите куда смотреть?

Оффлайн fli

  • Активист
  • *
  • Сообщений: 257
    • Просмотр профиля
Re: Прошу помощи с fail2ban
« Ответ #3 : 06 Июль 2012, 13:18:12 »
попробуй поставить в jail.conf
backend = polling

Оффлайн MaximKaz

  • Участник
  • *
  • Сообщений: 206
  • С++ forever!
    • Просмотр профиля
Re: Прошу помощи с fail2ban
« Ответ #4 : 06 Июль 2012, 13:28:44 »
Спасибо всем за жаркое обсуждение и дельные советы.
Проблему решил сам.
А вам спасибо, за очень подробное и точное описание решения, с поясниниями и скриншотами...
Fedora 17 | KDE | Intel Core i3 3.1 Ghz | RAM 2x2 | nVidia GeForce GTS 250 (1 Gb) | 620 Gb HDD (SATA & IDE) | DSL - 8 Mb/sec

Оффлайн v1t83

  • Новичок
  • *
  • Сообщений: 8
    • Просмотр профиля
Re: Прошу помощи с fail2ban
« Ответ #5 : 06 Июль 2012, 13:30:38 »
попробовал polling, gamin и auto - без изменений, заметил следующее если auth.log очистить то в логах fail2ban будет строка
fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log
но все так же не реаги рует на добавление строк

Пользователь решил продолжить мысль 06 Июль 2012, 13:36:18:
ан нет, прошу прощения в логах появится
fail2ban.filter : DEBUG  /var/log/auth.log has been modified
надо только loglevel = 4 выставить fail2ban.conf.
Спасибо!! Вроде значит заработало далее буду к другим сервисам прикручивать
« Последнее редактирование: 06 Июль 2012, 13:36:18 от v1t83 »

Оффлайн fli

  • Активист
  • *
  • Сообщений: 257
    • Просмотр профиля
Re: Прошу помощи с fail2ban
« Ответ #6 : 06 Июль 2012, 13:38:25 »
попробовал polling, gamin и auto - без изменений,
Так что ты выставил?

Оффлайн v1t83

  • Новичок
  • *
  • Сообщений: 8
    • Просмотр профиля
Re: Прошу помощи с fail2ban
« Ответ #7 : 09 Июль 2012, 04:31:31 »
C polling заработал

 

Страница сгенерирована за 0.184 секунд. Запросов: 24.