Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Бан и разбан в fail2ban  (Прочитано 2812 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн igusse

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Бан и разбан в fail2ban
« : 05 Декабрь 2014, 12:38:55 »
Здравствуйте, помогите пожалуйста разобраться.
Есть сервер на Debian 7. На нем стоит fail2ban.
Сейчас наблюдается атака, брутфорсят пароли к ftp.
Судя по логам fail2ban банит и сразу же разбанивает IP-адреса.

Даже не знаю куда копать... в гугле не нашел инфы, поэтому пришел сюда.

2014-12-05 03:28:34,157 fail2ban.actions: WARNING [proftpd] Unban 109.86.15.97
2014-12-05 03:57:10,930 fail2ban.actions: WARNING [proftpd] Ban 109.86.15.97
2014-12-05 04:07:11,607 fail2ban.actions: WARNING [proftpd] Unban 109.86.15.97
2014-12-05 05:06:00,369 fail2ban.actions: WARNING [proftpd] Ban 109.86.15.97
2014-12-05 05:16:01,032 fail2ban.actions: WARNING [proftpd] Unban 109.86.15.97
2014-12-05 05:46:50,166 fail2ban.actions: WARNING [proftpd] Ban 109.86.15.97
2014-12-05 05:56:50,879 fail2ban.actions: WARNING [proftpd] Unban 109.86.15.97
2014-12-05 06:56:18,757 fail2ban.actions: WARNING [proftpd] Ban 109.86.15.97
2014-12-05 07:06:19,428 fail2ban.actions: WARNING [proftpd] Unban 109.86.15.97
2014-12-05 07:36:19,248 fail2ban.actions: WARNING [proftpd] Ban 109.86.15.97
2014-12-05 07:46:19,868 fail2ban.actions: WARNING [proftpd] Unban 109.86.15.97
2014-12-05 08:45:53,588 fail2ban.actions: WARNING [proftpd] Ban 109.86.15.97
2014-12-05 08:55:54,256 fail2ban.actions: WARNING [proftpd] Unban 109.86.15.97
2014-12-05 09:26:35,321 fail2ban.actions: WARNING [proftpd] Ban 109.86.15.97
2014-12-05 09:36:35,989 fail2ban.actions: WARNING [proftpd] Unban 109.86.15.97
2014-12-05 10:37:19,063 fail2ban.actions: WARNING [proftpd] Ban 109.86.15.97
2014-12-05 10:47:19,724 fail2ban.actions: WARNING [proftpd] Unban 109.86.15.97
2014-12-05 11:16:43,709 fail2ban.actions: WARNING [proftpd] Ban 109.86.15.97
2014-12-05 11:26:44,363 fail2ban.actions: WARNING [proftpd] Unban 109.86.15.97

Оффлайн bukass

  • Активист
  • *
  • Сообщений: 976
    • Просмотр профиля
Re: Бан и разбан в fail2ban
« Ответ #1 : 05 Декабрь 2014, 12:51:28 »
igusse,
В файле /etc/fail2ban/jail.local или /etc/fail2ban/jail.conf если не создавал jail.local

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1/8
bantime  = 3600 # эта строчка отвечает за время бана, время в секундах
maxretry = 2
Всем пора в Изумрудный город, кому за умом, кому за сердцем.

Оффлайн igusse

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Бан и разбан в fail2ban
« Ответ #2 : 05 Декабрь 2014, 13:01:52 »
Спасибо за оперативный ответ.

сейчас стоит
bantime = 600

Теперь вопрос, чтобы забанить навечно какой значение нужно задать?

Правильно ли я понимаю, чтобы забанить/разбанить вручную  IP нужно юзать комманду?

set proftpd banip 109.86.15.97




Оффлайн bukass

  • Активист
  • *
  • Сообщений: 976
    • Просмотр профиля
Re: Бан и разбан в fail2ban
« Ответ #3 : 05 Декабрь 2014, 13:04:49 »
igusse,
Занести в /etc/hosts.deny
Всем пора в Изумрудный город, кому за умом, кому за сердцем.

Оффлайн igusse

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Бан и разбан в fail2ban
« Ответ #4 : 05 Декабрь 2014, 13:13:58 »
Спасибо разобрался!

 

Страница сгенерирована за 0.106 секунд. Запросов: 24.