fail2ban không cấm các IP "khớp" khỏi nhật ký vsftp

Sử dụng fail2ban để bảo mật đăng nhập vsftp:

tù.local

[vsftpd]
đã bật = đúng
bantime = 600
thời gian tìm thấy = 5000
thử nghiệm tối đa = 1
cổng = ftp, ftp-dữ liệu
hành động = iptables-multiport
logpath = /var/log/vsftpd/vsftpd.log

Regex phù hợp, như bạn có thể thấy ở đây:

fail2ban-regex /var/log/vsftpd/vsftpd.log /etc/fail2ban/filter.d/vsftpd.conf --print-all-matched

chạy thử nghiệm
=============

Sử dụng tệp bộ lọc failregex: vsftpd, basedir: /etc/fail2ban
Sử dụng datepotype : {^LN-BEG} : Trình phát hiện mặc định
Sử dụng tệp nhật ký: /var/log/vsftpd/vsftpd.log
Sử dụng mã hóa: UTF-8


Kết quả
=======

Failregex: tổng cộng 23
|- #) [# lần truy cập] biểu thức chính quy
| 2) [23] ^ \[pid \d+\] \[[^\]]+\] ĐĂNG NHẬP KHÔNG THÀNH CÔNG: Máy khách "<HOST>"(?:\s*$|,)
`-

Bỏ qua regex: tổng cộng 0

Số lần truy cập mẫu ngày:
|- [# lần truy cập] định dạng ngày
| [385] {^LN-BEG}(?:DAY )?MON Ngày %k:Phút:Giây(?:\.Micro giây)?(?: ExYear)?
`-

Dòng: 385 dòng, 0 bị bỏ qua, 23 khớp, 362 bị bỏ lỡ
[được xử lý trong 0,03 giây]

|- (Các) dòng phù hợp:
| Thứ tư ngày 9 tháng 3 08:36:06 2022 [pid 2619415] [bla] ĐĂNG NHẬP KHÔNG THÀNH CÔNG: Máy khách "some_IP"
| Thứ tư ngày 9 tháng 3 08:36:13 2022 [pid 2619420] [bla] ĐĂNG NHẬP KHÔNG THÀNH CÔNG: Máy khách "some_IP"
| Thứ tư ngày 9 tháng 3 08:36:18 2022 [pid 2619422] [blaas] ĐĂNG NHẬP KHÔNG THÀNH CÔNG: Máy khách "some_IP"
| Thứ tư ngày 9 tháng 3 08:36:30 2022 [pid 2619425] [blaas] ĐĂNG NHẬP KHÔNG THÀNH CÔNG: Máy khách "some_IP"
| Thứ tư ngày 9 tháng 3 08:36:37 2022 [pid 2619508] [blaas] ĐĂNG NHẬP KHÔNG THÀNH CÔNG: Khách hàng "some_IP"
| Thứ tư ngày 9 tháng 3 08:36:45 2022 [pid 2619511] [blaas] ĐĂNG NHẬP KHÔNG THÀNH CÔNG: Máy khách "some_IP"
| Thứ tư ngày 9 tháng 3 08:36:53 2022 [pid 2619514] [blaas] ĐĂNG NHẬP KHÔNG THÀNH CÔNG: Máy khách "some_IP"
| Thứ tư ngày 9 tháng 3 08:47:39 2022 [pid 2620744] [blaas] ĐĂNG NHẬP KHÔNG THÀNH CÔNG: Máy khách "some_IP"
| Thứ tư ngày 9 tháng 3 08:47:47 2022 [pid 2620746] [blaas] ĐĂNG NHẬP KHÔNG THÀNH CÔNG: Máy khách "some_IP"
| Thứ tư ngày 9 tháng 3 08:47:55 2022 [pid 2620748] [blaas] ĐĂNG NHẬP KHÔNG THÀNH CÔNG: Máy khách "some_IP"
| Thứ tư ngày 9 tháng 3 08:48:03 2022 [pid 2620763] [blaas] ĐĂNG NHẬP KHÔNG THÀNH CÔNG: Máy khách "some_IP"
| Thứ tư ngày 9 tháng 3 08:48:12 2022 [pid 2620767] [blaas] ĐĂNG NHẬP KHÔNG THÀNH CÔNG: Máy khách "some_IP"
| Thứ tư ngày 9 tháng 3 08:48:12 2022 [pid 2620766] [blaas] ĐĂNG NHẬP KHÔNG THÀNH CÔNG: Máy khách "some_IP"
| Thứ tư ngày 9 tháng 3 08:55:07 2022 [pid 2621558] [blaas] ĐĂNG NHẬP KHÔNG THÀNH CÔNG: Khách hàng "some_IP"
| Thứ tư ngày 9 tháng 3 08:55:15 2022 [pid 2621560] [blaas] ĐĂNG NHẬP KHÔNG THÀNH CÔNG: Máy khách "some_IP"
| Thứ tư ngày 9 tháng 3 08:55:23 2022 [pid 2621562] [blaas] ĐĂNG NHẬP KHÔNG THÀNH CÔNG: Máy khách "some_IP"
| Thứ tư ngày 9 tháng 3 08:55:23 2022 [pid 2621564] [blaas] ĐĂNG NHẬP KHÔNG THÀNH CÔNG: Máy khách "some_IP"
| Thứ tư ngày 9 tháng 3 08:55:26 2022 [pid 2621566] [blaas] ĐĂNG NHẬP KHÔNG THÀNH CÔNG: Máy khách "some_IP"
| Thứ tư ngày 9 tháng 3 09:36:56 2022 [pid 2627379] [blaas] ĐĂNG NHẬP KHÔNG THÀNH CÔNG: Máy khách "some_IP"
| Thứ tư ngày 9 tháng 3 09:37:48 2022 [pid 2627498] [blaas] ĐĂNG NHẬP KHÔNG THÀNH CÔNG: Máy khách "some_IP"
| Thứ tư ngày 9 tháng 3 09:37:57 2022 [pid 2627500] [blaas] ĐĂNG NHẬP KHÔNG THÀNH CÔNG: Khách hàng "some_IP"
| Thứ tư ngày 9 tháng 3 09:37:57 2022 [pid 2627501] [blaas] ĐĂNG NHẬP KHÔNG THÀNH CÔNG: Máy khách "some_IP"
| Thứ tư ngày 9 tháng 3 09:37:58 2022 [pid 2627504] [blaas] ĐĂNG NHẬP KHÔNG THÀNH CÔNG: Máy khách "some_IP"
`-
(Các) dòng bị thiếu: quá nhiều để in. Sử dụng --print-all-missed để in tất cả 362 dòng

Kiểm tra với fail2ban cli / fail2ban-client status vsftpd

Trạng thái của nhà tù: vsftpd
|- Bộ lọc
| |- Hiện không thành công: 0
| |- Tổng số không thành công: 0
| ` - Nhật ký phù hợp:
` - Hành động
   |- Đang bị cấm: 0
   |- Tổng số bị cấm: 0
   ` - Danh sách IP bị cấm:

Bất kỳ ý tưởng nào có thể khiến điều này không cấm các IP "khớp"/làm thế nào để gỡ lỗi thêm?

Bất kỳ ý tưởng nào có thể khiến điều này không cấm các IP "khớp"/làm thế nào để gỡ lỗi thêm?

Sai phụ trợ (nếu nó là hệ thống theo mặc định trên hệ thống của bạn)? Cố gắng chỉ định phụ trợ = tự động cho nhà tù này (nó sẽ tự động chọn chương trình phụ trợ giám sát liên quan đến tệp).

Đối với các lý do có thể khác xem https://github.com/fail2ban/fail2ban/wiki/How-fail2ban-works

Tại sao bạn nghĩ rằng nó không bị cấm? Thực tế nó không bị cấm hiện nay không có nghĩa là một nhà tù không hoạt động.

Tôi thấy một mô hình cụ thể trong nhật ký của bạn cho nhà tù bla bla: sáu lần thử liên tiếp, sau đó một số chậm trễ (khoảng 10 phút), sau đó chính xác sáu lần thử lại, sau đó trì hoãn một chút, rồi sáu lần thử lại...

Điều này có thể được giải thích theo hai cách:

1. Nó cấm trong 10 phút sau 6 lần thử. Sau đó loại bỏ lệnh cấm.

2. Bạn phải đối mặt với một thông minh bot, biết về hành vi điển hình của fail2ban và có thể xác định cài đặt tù (số lần thử trong khoảng thời gian kích hoạt lệnh cấm). Những bot như vậy tồn tại trong một thời gian khá dài. Vì vậy, có lẽ nó chỉ tự điều chỉnh để không vấp phải lệnh cấm.

Để khắc phục những trường hợp đó, bạn cần kích hoạt tái phạm jailbreak, quét tệp nhật ký của fail2ban, tìm kiếm các địa chỉ bị cấm và bỏ cấm quá nhiều lần (ví dụ: năm lần mỗi ngày) và cấm chúng một thời gian dài, hình như cả tháng trời. Trong trường hợp thứ hai, bạn cũng phải thắt chặt đáng kể giới hạn ngồi tù để có thể bắt được bot tái phạm trước khi nó có cơ hội xác định thiết lập ngồi tù của bạn.

luôn luôn đọc tệp nhật ký (có lẽ /var/log/fail2ban.log), không phải là trình trợ giúp đối sánh regex. Trình trợ giúp đó được thiết kế chính xác để gỡ lỗi các trận đấu gây ra một lần truy cập. Sẽ không hữu ích khi gỡ lỗi hành vi cấm khi các trình đối sánh regex đã được gỡ lỗi và hoạt động bình thường.

Tôi đã đọc lại câu hỏi của bạn và nhận thấy định nghĩa về nhà tù: thời gian cấm thực sự được đặt thành 10 phút. Nếu tôi có thể xác định nó mà không cần xem cài đặt, tại sao bot lại không thể?