Форум русскоязычного сообщества Ubuntu


За новостями русскоязычного сообщества и Ubuntu в целом можно следить на нашей страничке в Google+

Автор Тема: помогите разобраться с fail2ban  (Прочитано 431 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн pl84

  • Автор темы
  • Любитель
  • *
  • Сообщений: 68
    • Просмотр профиля
помогите разобраться с fail2ban
« : 04 Ноябрь 2016, 14:46:30 »
в инете везде пишут о настройки fail2ban: идите в конфиг-файл, там "секция" "ssh" в ней все настройте и радуйтесь, а вот и нет в 0.9.3-1 такой секции, но есть аж 4 похожих, настроих все одинаково, НО возникли вопросы:

1. куда пропали параметры enabled = true? хотя и без них все работает,
2. вместо порта и его значения "ssh" при не стандартном порту я правильно указал номер своего порта 9999?
3. куда пропал параметр "filter  = sshd-ddos" из секции "[sshd-ddos]"?
4. можно ли мне закоментировать к примеру dropbear - ведь у меня его в системе нет, как и много чего еще, настройки которых применяются, и используют ресурсы машины?
5. если я в секции указываю параметры findtime = 3600, maxretry = 3, bantime = 86400 - то они приоритетнее, чем дефолтные? и распространяются исключительно на эту секцию?

попутно выяснилось:
1. чтобы удалить ip из бана, сейчас надо выполнить: iptables -nvL --line-numbers - посмотреть строчку в iptables, а потом удалить не ip, а строчку в iptables: "sudo iptables -D f2b-sshd 1", где "f2b-sshd" - "имя Chain", а "1" - номер строки
2. при перезапуске демона, он как я понимаю перечитывает логи openssh и если время блокировки еще не вышло в соответствии с его настройками, т.е. время блокировки не вышло еще, то он тут же вносит в iptables повторно (если удалил до этого руками),
3. dropbear - это легкий сервер ssh.


версии пакетов, качались из репозитория Ubuntu
(Нажмите, чтобы показать/скрыть)

часть конфига из fail2ban /etc/fail2ban/jail.local
(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 04 Ноябрь 2016, 15:02:32 от pl84 »

Оффлайн bezbo

  • Активист
  • *
  • Сообщений: 625
    • Просмотр профиля
Re: помогите разобраться с fail2ban
« Ответ #1 : 04 Ноябрь 2016, 16:27:15 »
1. в jail.conf указано enabled = false
2. все изменения необходимо делать в jail.local, а какой у Вас нестандартный порт для SSH - это только Вы знаете.
3. никуда не пропал, он на месте ([sshd-ddos])
4. можно, но не нужно, поскольку он по умолчанию не активен
5. если параметр внутри секции, то он действует на эту секцию.

1. sudo fail2ban-client set JAIL unbanip IP
2. нет
3. a replacement for standard OpenSSH for environments with low memory and processor resources

Оффлайн pl84

  • Автор темы
  • Любитель
  • *
  • Сообщений: 68
    • Просмотр профиля
Re: помогите разобраться с fail2ban
« Ответ #2 : 04 Ноябрь 2016, 17:15:17 »
3. куда пропал параметр "filter  = sshd-ddos" из секции "[sshd-ddos]"?
3. никуда не пропал, он на месте ([sshd-ddos])

1. т.е. можно просто добавить еще параметр filter  = sshd-ddos? есть ли смысл? я так понимаю, что при переборе так и так ip будет заблокирован, если только просто будет выполняться подключение и в сессии ничего вводиться не будет, тогда просто память закончится и сервак перестанет отвечать вообще... - правильно мыслю?

2. все изменения необходимо делать в jail.local, а какой у Вас нестандартный порт для SSH - это только Вы знаете

2. я имел ввиду, что если он не стандартный, то надо его руками указывать, а не оставлять "ssh"? или если оставить ssh, то он поймет сам, какой порт использует OpenSSH.

sudo fail2ban-client set JAIL unbanip IP

3. ясно, а я пробовал: fail2ban-ssh - похоже из-за этого и блокировал он снова ip, когда я удалял его руками по номеру строки, fail2ban похоже не знал, что ip разбанили.

1. в jail.conf указано enabled = false
2. все изменения необходимо делать в jail.local, а какой у Вас нестандартный порт для SSH - это только Вы знаете.

я создал копию jail.conf с именем jail.local, который как я понимаю имеет приоритет выше и в нем enabled = false тоже в разеле [DEFAULT], как-то работает... ткните носом пожалуйста.

(Нажмите, чтобы показать/скрыть)


Пользователь добавил сообщение 04 Ноябрь 2016, 17:33:39:
***************************************************

поправил конфиг, добавил параметы enable = true и filter  = sshd-ddos:
(Нажмите, чтобы показать/скрыть)

вроде все.. или есть еще какие-то фильтры, которые сюда можно добавить и использовать для защиты?
« Последнее редактирование: 04 Ноябрь 2016, 17:35:37 от pl84 »

Оффлайн bezbo

  • Активист
  • *
  • Сообщений: 625
    • Просмотр профиля
Re: помогите разобраться с fail2ban
« Ответ #3 : 04 Ноябрь 2016, 17:49:45 »
1. секция [sshd-ddos] уже есть, поэтому добавлять её не надо, внутри секции укажите enabled = true и т.д.
2. если порт не стандартный, то его можно указать
3. не знаю что Вы пробовали, поэтому ничего ответить не могу

по умолчанию секция [sshd] активирована, поэтому внутри секции enabled = true не требуется

Оффлайн pl84

  • Автор темы
  • Любитель
  • *
  • Сообщений: 68
    • Просмотр профиля
Re: помогите разобраться с fail2ban
« Ответ #4 : 04 Ноябрь 2016, 19:45:55 »
большое спасибо!

 

Страница сгенерирована за 0.061 секунд. Запросов: 24.