Tham gia Đăng nhập
Điểm:0
Deeepdigger avatar Server

Fail2ban không chặn các lần thử ssh

lá cờ cn
Deeepdigger

Tôi đã thiết lập fail2ban để chặn các lần thử ssh không thành công. Tôi đã kiểm tra quy tắc bằng fail2ban-regex và trích xuất từ ​​nhật ký của mình, quy tắc này hoạt động tốt.

Tôi cũng đã kiểm tra nhật ký để biết thông báo "Cấm" và IP được đề cập và nó ở đó:

zgrep 'Cấm.*202.29.214.13' /var/log/fail2ban.log*
/var/log/fail2ban.log:2021-08-23 01:27:19,023 fail2ban.actions [1460]: THÔNG BÁO [sshd] Cấm 202.29.214.13

Tuy nhiên, nhật ký ssh/auth của tôi vẫn hiển thị các lần thử từ IP đó sau đó dấu thời gian trong câu hỏi:

Ngày 23 tháng 8 01:27:23 myhost123 sshd[4526]: thông báo lặp lại 2 lần: [Không thể nhập mật khẩu cho root từ 202.29.214.13 cổng 47633 ssh2]
Ngày 23 tháng 8 01:27:23 myhost123 sshd[4526]: lỗi: vượt quá số lần xác thực tối đa cho quyền root từ 202.29.214.13 cổng 47633 ssh2 [preauth]
Ngày 23 tháng 8 01:27:23 myhost123 sshd[4526]: Ngắt kết nối xác thực người dùng root 202.29.214.13 cổng 47633: Quá nhiều lỗi xác thực [preauth]
Ngày 23 tháng 8 01:27:31 myhost123 sshd[4533]: thông báo lặp lại 2 lần: [Không thể nhập mật khẩu cho root từ 202.29.214.13 cổng 50424 ssh2]
Ngày 23 tháng 8 01:27:31 myhost123 sshd[4533]: lỗi: vượt quá số lần xác thực tối đa cho quyền root từ 202.29.214.13 cổng 50424 ssh2 [preauth]
Ngày 23 tháng 8 01:27:31 myhost123 sshd[4533]: Ngắt kết nối xác thực người dùng root 202.29.214.13 cổng 50424: Quá nhiều lỗi xác thực [preauth]
Ngày 23 tháng 8 01:27:39 myhost123 sshd[4535]: lỗi: vượt quá số lần xác thực tối đa cho quyền root từ 202.29.214.13 cổng 53056 ssh2 [preauth]
Ngày 23 tháng 8 01:27:39 myhost123 sshd[4535]: Ngắt kết nối xác thực người dùng root 202.29.214.13 cổng 53056: Quá nhiều lỗi xác thực [preauth]
Ngày 23 tháng 8 01:27:48 myhost123 sshd[4542]: lỗi: vượt quá số lần xác thực tối đa cho quyền root từ 202.29.214.13 cổng 55901 ssh2 [preauth]
Ngày 23 tháng 8 01:27:48 myhost123 sshd[4542]: Ngắt kết nối xác thực người dùng root 202.29.214.13 cổng 55901: Quá nhiều lỗi xác thực [preauth]
Ngày 23 tháng 8 01:27:55 myhost123 sshd[4551]: lỗi: vượt quá số lần xác thực tối đa cho quyền root từ 202.29.214.13 cổng 58908 ssh2 [preauth]
Ngày 23 tháng 8 01:27:55 myhost123 sshd[4551]: Ngắt kết nối xác thực người dùng root 202.29.214.13 cổng 58908: Quá nhiều lỗi xác thực [preauth]
Ngày 23 tháng 8 01:28:03 myhost123 sshd[4565]: lỗi: vượt quá số lần xác thực tối đa cho quyền root từ 202.29.214.13 cổng 61129 ssh2 [preauth]
Ngày 23 tháng 8 01:28:03 myhost123 sshd[4565]: Ngắt kết nối xác thực người dùng root 202.29.214.13 cổng 61129: Quá nhiều lỗi xác thực [preauth]
Ngày 23 tháng 8 01:28:23 myhost123 sshd[4577]: lỗi: vượt quá số lần xác thực tối đa đối với quản trị viên người dùng không hợp lệ từ 202.29.214.13 cổng 3511 ssh2 [preauth]
Ngày 23 tháng 8 01:29:24 myhost123 sshd[4613]: lỗi: vượt quá số lần xác thực tối đa đối với tiên tri người dùng không hợp lệ từ 202.29.214.13 cổng 24149 ssh2 [preauth]
Ngày 23 tháng 8 01:30:07 myhost123 sshd[4641]: lỗi: vượt quá số lần xác thực tối đa cho người dùng không hợp lệ usuario từ 202.29.214.13 cổng 37311 ssh2 [preauth]
Ngày 23 tháng 8 01:30:15 myhost123 sshd[4647]: lỗi: vượt quá số lần xác thực tối đa cho người dùng không hợp lệ usuario từ 202.29.214.13 cổng 39486 ssh2 [preauth]
Ngày 23 tháng 8 01:30:58 myhost123 sshd[4684]: lỗi: vượt quá số lần xác thực tối đa đối với thử nghiệm người dùng không hợp lệ từ 202.29.214.13 cổng 52882 ssh2 [preauth]
Ngày 23 tháng 8 01:31:33 myhost123 sshd[4699]: lỗi: vượt quá số lần xác thực tối đa đối với người dùng không hợp lệ từ 202.29.214.13 cổng 64849 ssh2 [preauth]

fail2ban có nên chặn hoàn toàn tất cả các yêu cầu từ IP đó không? Bất kỳ gợi ý về những gì để kiểm tra đánh giá cao.

134
1 + 1
lá cờ jp
Dom
Kiểm tra xem "iptables -L -nv" có trả lại thông tin gì về f2b-ssh không. Kiểm tra nhật ký fail2ban xung quanh nhật ký cấm: có thể có lỗi khi cố gắng đặt iptables vào đúng vị trí.
1
Hồi đáp
Điểm:0
Deeepdigger avatar Server
lá cờ cn
Deeepdigger

Nhờ gợi ý của Dom: giới hạn iptables là nguyên nhân cốt lõi của vấn đề.

Kiểm tra với:

grep "iptables: Vấn đề cấp phát bộ nhớ" /var/log/fail2ban.log

egrep "failcnt|numiptent" /proc/user_beancounters

Có vẻ như tôi không thể thay đổi giới hạn iptables, chỉ nhà cung cấp của tôi mới có thể.

0 + 2
Michael Hampton avatar
lá cờ cz
Michael Hampton
Đây là một vấn đề khác với OpenVZ. Nên tránh OpenVZ và sử dụng VPS có ảo hóa thực sự.
0
Hồi đáp
sebres avatar
lá cờ il
sebres
nếu nhân máy chủ của bạn hỗ trợ `ipset` và bạn có thể sử dụng nó trên OpenVZ, bạn có thể chuyển sang một số hành động iptables-ipset, do đó, nó chỉ tạo một chuỗi iptables cho mỗi lần giam và tất cả các IP sẽ chuyển sang `ipset` (rất nhiều nhanh hơn và hy vọng không bị ảnh hưởng bởi các giới hạn nghiêm ngặt như vậy đối với hệ thống của bạn như `iptables`).
1
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.