Tham gia Đăng nhập
Điểm:0
avatar Server

fail2ban - Biểu thức chính quy bổ sung cho bộ lọc sshd

lá cờ ca
flowks

Tôi hiện đang cố gắng bắt các lần đăng nhập SSH không thành công bằng xác thực dựa trên chứng chỉ (chứng chỉ đúng nhưng mật khẩu sai) bằng fail2ban phiên bản 0.11.2-2 (chạy trên Debian 11).

Vì vậy, tôi đã tạo một tệp mới /etc/fail2ban/filter.d/sshd.local với nội dung

[Sự định nghĩa]
failregex = %(known/failregex)s
            ^%(__prefix_line)sĐã đóng kết nối bằng cách xác thực người dùng <F-USER>.+</F-USER> <HOST> cổng \d+ \[preauth\]$

để quy tắc bộ lọc không bị ghi đè trong các bản cập nhật trong tương lai.

Để kiểm tra điều này, tôi đã tự mình gây ra tình trạng này một vài lần và có thể xác nhận với sudo fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.local rằng bộ lọc tìm thấy các mục nhật ký:

  1. [88] ^(?:[])?\s*(?:<[^.]+.[^.]+>\s+)?(?:\S+\s+)?(?:kernel:\s ?[ *\d+.\d+]:?\s+)?(?:@vserver_\S+\s+)?(?:(?:(?:[\d+])?:\s+[[(]?sshd(? :(\S+))?[])]?:?|[[(]?sshd(?:(\S+))?[])]?:?(?:[\d+])?:?)\ s+)?(?:[ID \d+ \S+]\s+)?Kết nối đã đóng bằng cách xác thực người dùng .+ cổng \d+ [preauth]$

Nhưng không có gì xảy ra trên trạng thái bộ lọc:

Trạng thái của nhà tù: sshd
|- Bộ lọc
| |- Hiện không thành công: 0
| |- Tổng số không thành công: 0
| - Danh sách file: /var/log/auth.log
 - Hành động
   |- Đang bị cấm: 0
   |- Tổng số bị cấm: 0
    - Danh sách IP bị cấm:

Bạn có bất kỳ ý tưởng nào không hoạt động ở đây hoặc tôi nên tìm ở đâu khác không?

258
0 + 0
Điểm:0
sebres avatar Server
lá cờ il
sebres

có thể xác nhận với fail2ban-regex ... /etc/fail2ban/filter.d/sshd.local rằng bộ lọc tìm thấy các mục nhật ký

Bộ lọc mặc định (ở chế độ thông thường) sẽ bỏ qua nó với RE đã có sẵn khác, đây là công cụ trợ giúp để xem xét IP của phiên (đối với các tin nhắn khác xảy ra trong cùng một phiên nhưng không có IP) và nó dừng lại lần đầu tiên phù hợp với thông điệp. Nhưng trái lại fail2ban-regex hiển thị bất kỳ RE phù hợp nào, cũng như các bản sao.

Vì vậy, bạn cũng sẽ thấy 20) [88] ... ở đầu ra. Cũng như Dòng: N dòng, 88 bị bỏ qua, X khớp, Y bị bỏ lỡ.

Để đạt được điều này một cách chính xác (hoàn toàn không có sửa đổi cục bộ của bạn):

  1. một trong hai bộ bộ lọc = %(known/filter)s[publickey=any] Trong sshd vào tù (vì phiên bản của bạn phải hỗ trợ nó, hãy xem https://github.com/fail2ban/fail2ban/discussions/3176#discussioncomment-1768538 để biết thêm thông tin).
  2. hoặc đơn giản là thiết lập chế độ = tích cực Trong sshd nhà tù.

Để xử lý việc này một cách chính xác (với các sửa đổi cục bộ của bạn):

  1. viết lại mdre-bình thường-khác, ví dụ như trong jailbreak.local:
[sshd]
bộ lọc = %(known/filter)s[mdre-normal-other=""]
failregex = %(known/failregex)s
            ^Kết nối đã đóng bởi ...
  1. hoặc viết RE tùy chỉnh của bạn trước RE gốc... Chỉ cần lưu ý rằng các phiên bản fail2ban mới nhất sẽ sắp xếp lại chúng (https://github.com/fail2ban/fail2ban/pull/3007):
failregex = ^Kết nối bị đóng bởi ...
            %(known/failregex)s

Và không sử dụng %(__prefix_line)s Trong thất bại, bởi vì nó đã được xử lý trong prefregex, vì vậy người ta cần phải viết nó như ở đây:

- ^%(__prefix_line)sKết nối ...
+ ^Kết nối ...
0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.