Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Бесконечная игра в кошки мышки fail2ban'a  (Прочитано 359 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн papakota

  • Автор темы
  • Участник
  • *
  • Сообщений: 123
    • Просмотр профиля
Здравствуйте!

Собственно, может это и не проблема особо, но тем не менее... У меня стоит Postfix на компьютере. Почти уже год назад, я установил себе fail2ban после множества неудачных попыток ботов залогиниться. В принципе, fail2ban работает. Но как то странно (в моем понимании). Он сначала банит IP, потом через неско часов разбанивает. Через пол-часа опять банит тот же IP и т.д. и т.д. и т.д.
Некоторые боты пытаются залогиниться каждые 20 минут, чтобы избежать бана.

Load average сервера, вроде бы, отличный. В районе 0,20

Мой вопрос состоит в том... Насколько всё это нормально или мне нужно что-то с этим обязательно делать? Или же попытки бота залогиниться каждые 20 минут для сервака настолько непринципиальны, что мне лучше это просто игнорировать?

 

Оффлайн www777

  • Модератор раздела
  • Старожил
  • *
  • Сообщений: 2594
    • Просмотр профиля
Re: Бесконечная игра в кошки мышки fail2ban'a
« Ответ #1 : 11 Октябрь 2016, 00:57:37 »
papakota, А ты хочешь, что бы бан был вечным?

Оффлайн papakota

  • Автор темы
  • Участник
  • *
  • Сообщений: 123
    • Просмотр профиля
Re: Бесконечная игра в кошки мышки fail2ban'a
« Ответ #2 : 11 Октябрь 2016, 02:54:26 »
Нет, но и не пару часов...

Я мог бы установить findtime на уровне двух часов, так чтобы четвертая попытка была бы где-то в течении полутора часов и бан бы заработал. Но не знаю, умно ли ставить большой параметр для findtime?

Оффлайн Дмитрий Бо

  • Погонщик серверов
  • Модератор раздела
  • Старожил
  • *
  • Сообщений: 3538
  • Я не техподдержка, я за порядком слежу
    • Просмотр профиля
    • LinkedIn
Re: Бесконечная игра в кошки мышки fail2ban'a
« Ответ #3 : 11 Октябрь 2016, 06:49:57 »
papakota, если пароль нормальный, то сойдёт и так. Перебирая по одному паролю в 20 минут, бот может подобрать только совсем уж словарный пароль типа "admin" или "123456". Любой несловарный пароль длиннее пяти символов он будет подбирать до смерти человечества.
Я обычно баню на сутки, но это дело вкуса.
« Последнее редактирование: 11 Октябрь 2016, 06:51:32 от Дмитрий Бо »
Не опускай рук, а то пропустишь в бороду

Оффлайн EvangelionDeath

  • Администратор
  • Старожил
  • *
  • Сообщений: 3095
  • Ubuntu Mate 16.04 х64
    • Просмотр профиля
Re: Бесконечная игра в кошки мышки fail2ban'a
« Ответ #4 : 11 Октябрь 2016, 09:44:47 »
papakota, в fail2ban есть кроме интервала бана и интервал на котором отлеживаются неудачные попытки логина. я поставил интервал на попытки логина 1 час и уменьшил их количество до 3х.
Fujitsu UH552: Intel Core i3-3217U, 16GB DDR3 1600MHz, Intel HD4000, Intel 535 120GB/Ubuntu 16.04 Mate
HP 625: AMD Athlon P320, 4GB DDR3 1333MHz, AMD HD4250, Seagate Momentus/Ubuntu 14.04 Mate

Оффлайн eNdiD

  • Участник
  • *
  • Сообщений: 188
    • Просмотр профиля
Re: Бесконечная игра в кошки мышки fail2ban'a
« Ответ #5 : 11 Октябрь 2016, 16:54:01 »
Множество попыток ботов залогиниться отбивается запретом логина от рута. Я у себя поставил длинный пароль для обычного юзера, под которым логинюсь. Чтобы не вводить каждый раз - сделал сертификат для себя.

А в fail2ban поставил 3 попытки входа на день с баном на неделю. Пусть брутят на здоровье. Делается это просто. В /etc/fail2ban создать конфиг jail.local, в котором прописать:
[ssh]
findtime        = время на попытки в секундах
maxretry        = количество попыток
bantime         = время бана в секундах
Но это уже избыточно. Я лично уверен, что 3 попытки входа мне хватит в крайнем случае.
« Последнее редактирование: 11 Октябрь 2016, 16:56:15 от eNdiD »

Оффлайн papakota

  • Автор темы
  • Участник
  • *
  • Сообщений: 123
    • Просмотр профиля
Re: Бесконечная игра в кошки мышки fail2ban'a
« Ответ #6 : 11 Октябрь 2016, 20:44:05 »
papakota, если пароль нормальный, то сойдёт и так. Перебирая по одному паролю в 20 минут, бот может подобрать только совсем уж словарный пароль типа "admin" или "123456". Любой несловарный пароль длиннее пяти символов он будет подбирать до смерти человечества.
Я обычно баню на сутки, но это дело вкуса.

Меня не взлом сервера беспокоит, а лишняя нагрузка и грязные логи. Чисто психологически это неприятно. Зачем это надо?

Пользователь добавил сообщение 11 Октябрь 2016, 20:46:17:
papakota, в fail2ban есть кроме интервала бана и интервал на котором отлеживаются неудачные попытки логина. я поставил интервал на попытки логина 1 час и уменьшил их количество до 3х.
Я поставил так в файле /etc/fail2ban/jail.local

maxRetry = 2
findtime = 5400
banTime = 86400

Я так понимаю, что теперь те боты, что пытаются раз в 20 минут тоже будут забанены на каком то этапе. А те, что часто пытаются, будут баниться, как и раньше, когда findtime был 600, а maxRetry был 3. Так?
« Последнее редактирование: 11 Октябрь 2016, 20:46:17 от papakota »

 

Страница сгенерирована за 0.058 секунд. Запросов: 24.