Tham gia Đăng nhập
Điểm:0
Moso avatar Server

fail2ban dường như đang hoạt động nhưng máy chủ vẫn nhận được các nỗ lực kết nối

lá cờ my
Moso

fail2ban bí ẩn!

Mọi thứ dường như đang hoạt động và được định cấu hình tốt nhưng máy chủ vẫn nhận được các nỗ lực kết nối.

[moso@matrix ~]$ sudo systemctl status fail2ban
â fail2ban.service - Dịch vụ Fail2Ban
     Đã tải: đã tải (/usr/lib/systemd/system/fail2ban.service; đã bật; giá trị đặt sẵn của nhà cung cấp: đã tắt)
     Hoạt động: hoạt động (đang chạy) kể từ Thứ bảy 2022-04-16 22:10:45 -03; 13 giờ trước
       Tài liệu: man:fail2ban(1)
    Quá trình: 332 ExecStartPre=/bin/mkdir -p /run/fail2ban (mã=đã thoát, trạng thái=0/THÀNH CÔNG)
   PID chính: 335 (fail2ban-server)
      Nhiệm vụ: 5 (giới hạn: 19183)
     Bộ nhớ: 17,9M
        CPU: 1 phút 945ms
     Nhóm C: /system.slice/fail2ban.service
             ââ335 /usr/bin/python /usr/bin/fail2ban-server -xf bắt đầu

Ngày 16 tháng 4 22:10:45 ma trận systemd[1]: Bắt đầu Dịch vụ Fail2Ban...
Ngày 16 tháng 4 22:10:45 matrix systemd[1]: Đã bắt đầu Dịch vụ Fail2Ban.
Ngày 16 tháng 4 22:10:45 ma trận fail2ban-server[335]: Máy chủ đã sẵn sàng



[moso@matrix ~]$ sudo cat /etc/fail2ban/jail.d/sshd.local
[sshd]
  đã bật = đúng
  bộ lọc = sshd
  lệnh cấm = iptables
  phụ trợ = systemd
  thử lại tối đa = 3
  thời gian tìm = 1d
  bantime = 2w
  bỏ quaip = 127.0.0.1/8 x1.y1.z1.w1/32 x2.y2.z2.w2/32



[moso@matrix ~]$ sudo fail2ban-client status sshd
Trạng thái của nhà tù: sshd
|- Bộ lọc
| |- Hiện không thành công: 1
| |- Tổng số không thành công: 10
| ` - Nhật ký phù hợp: _SYSTEMD_UNIT=sshd.service + _COMM=sshd
` - Hành động
|- Đang bị cấm: 1
|- Tổng số bị cấm: 1
` - Danh sách IP bị cấm: 179.43.156.154



[moso@matrix ~]$ sudo iptables -L -n | grep179.43.156.154
TỪ CHỐI tất cả -- 179.43.156.154 0.0.0.0/0 reject-with icmp-port-unreachable



[moso@matrix ~]$ sudo cat /var/log/fail2ban.log
16-04-2022 22:10:45,655 fail2ban.server [335]: THÔNG TIN Bắt đầu Fail2ban v0.11.2
16-04-2022 22:10:45,657 fail2ban.observer [335]: INFO Observer bắt đầu...
16-04-2022 22:10:45,667 fail2ban.database [335]: THÔNG TIN Đã kết nối với cơ sở dữ liệu liên tục fail2ban '/var/lib/fail2ban/fail2ban.sqlite3'
16-04-2022 22:10:45,670 fail2ban.database [335]: CẢNH BÁO Đã tạo cơ sở dữ liệu mới. Phiên bản '4'
16-04-2022 22:10:45,670 fail2ban.jail [335]: THÔNG TIN Tạo nhà tù mới 'sshd'
16-04-2022 22:10:45,706 fail2ban.jail [335]: INFO Nhà tù 'sshd' sử dụng systemd {}
16-04-2022 22:10:45,706 fail2ban.jail [335]: INFO Bắt đầu phụ trợ 'systemd'
2022-04-16 22:10:45,707 fail2ban.filter [335]: INFO maxLines: 1
16-04-2022 22:10:45,723 fail2ban.filtersystemd [335]: THÔNG TIN [sshd] Đã thêm khớp nhật ký cho: '_SYSTEMD_UNIT=sshd.service + _COMM=sshd'
2022-04-16 22:10:45,723 fail2ban.filter [335]: INFO maxRetry: 3
16-04-2022 22:10:45,723 fail2ban.filter [335]: Thời gian tìm kiếm THÔNG TIN: 86400
2022-04-16 22:10:45,724 fail2ban.actions [335]: INFO banTime: 1209600
16-04-2022 22:10:45,724 fail2ban.filter [335]: Mã hóa INFO: UTF-8
2022-04-16 22:10:45,725 fail2ban.jail [335]: INFO Nhà tù 'sshd' bắt đầu
2022-04-16 22:53:09,239 fail2ban.filter [335]: INFO [sshd] Đã tìm thấy 179.43.156.154 - 2022-04-16 22:53:08
2022-04-17 00:33:22,995 fail2ban.filter [335]: INFO [sshd] Đã tìm thấy 179.43.156.154 - 2022-04-17 00:33:22
2022-04-17 01:31:38,980 fail2ban.filter [335]: INFO [sshd] Đã tìm thấy 179.43.156.154 - 2022-04-17 01:31:38
17-04-2022 01:31:39,266 fail2ban.actions [335]: THÔNG BÁO [sshd] Lệnh cấm 179.43.156.154
2022-04-17 02:58:45,765 fail2ban.filter [335]: INFO [sshd] Đã tìm thấy 179.43.156.154 - 2022-04-17 02:58:45
2022-04-17 05:40:59,243 fail2ban.filter [335]: INFO [sshd] Đã tìm thấy 179.43.156.154 - 2022-04-17 05:40:58
2022-04-17 07:13:51,766 fail2ban.filter [335]: INFO [sshd] Đã tìm thấy 179.43.156.154 - 2022-04-17 07:13:51
17-04-2022 07:13:52,130 fail2ban.actions [335]: CẢNH BÁO [sshd] 179.43.156.154 đã bị cấm
2022-04-17 07:49:33,667 fail2ban.filter [335]: INFO [sshd] Đã tìm thấy 179.43.156.154 - 2022-04-17 07:49:33
2022-04-17 08:20:44,205 fail2ban.filter [335]: INFO [sshd] Đã tìm thấy 179.43.156.154 - 2022-04-17 08:20:44
2022-04-17 08:44:07,980 fail2ban.filter [335]: INFO [sshd] Đã tìm thấy 179.43.156.154 - 2022-04-17 08:44:07
17-04-2022 08:44:08,129 fail2ban.actions [335]: CẢNH BÁO [sshd] 179.43.156.154 đã bị cấm
2022-04-17 09:44:54,464 fail2ban.filter [335]: INFO [sshd] Đã tìm thấy 179.43.156.154 - 2022-04-17 09:44:54
...



[moso@matrix ~]$ journalctl _SYSTEMD_UNIT=sshd.service
16 tháng 4 22:10:15 matrix sshd[151093]: Đã nhận tín hiệu 15; chấm dứt.
-- Khởi động aa222dfff23f467ab30cd5125c7c3a55 --
Ngày 16 tháng 4 22:10:45 ma trận sshd[333]: Máy chủ đang lắng nghe trên cổng 0.0.0.0 2206.
Ngày 16 tháng 4 22:53:08 matrix sshd[656]: Kết nối từ 179.43.156.154 cổng 40138 trên 38.105.209.109 cổng 2206 rdomain ""
Ngày 16 tháng 4 22:53:08 matrix sshd[656]: Root người dùng không hợp lệ từ cổng 179.43.156.154 40138
Ngày 16 tháng 4 22:53:08 ma trận sshd[656]: Kết nối bị đóng bởi người dùng không hợp lệ root root 179.43.156.154 cổng 40138 [preauth]
Ngày 17 tháng 4 00:33:22 matrix sshd[685]: Kết nối từ 179.43.156.154 cổng 34498 trên 38.105.209.109 cổng 2206 rdomain ""
Ngày 17 tháng 4 00:33:22 matrix sshd[685]: Root người dùng không hợp lệ từ cổng 179.43.156.154 34498
Ngày 17 tháng 4 00:33:22 ma trận sshd[685]: Kết nối bị đóng bởi người dùng không hợp lệ root root 179.43.156.154 cổng 34498 [preauth]
Ngày 17 tháng 4 01:31:38 ma trận sshd[699]: Kết nối từ 179.43.156.154 cổng 59372 trên 38.105.209.109 cổng 2206 rdomain ""
Ngày 17 tháng 4 01:31:38 matrix sshd[699]: Root người dùng không hợp lệ từ cổng 179.43.156.154 59372
Ngày 17 tháng 4 01:31:38 ma trận sshd[699]: Kết nối bị đóng bởi người dùng không hợp lệ root root 179.43.156.154 cổng 59372 [preauth]
Ngày 17 tháng 4 02:58:44 matrix sshd[722]: Kết nối từ 179.43.156.154 cổng 57448 trên 38.105.209.109 cổng 2206 rdomain ""
Ngày 17 tháng 4 02:58:45 matrix sshd[722]: Root người dùng không hợp lệ từ cổng 179.43.156.154 57448
Ngày 17 tháng 4 02:58:45 ma trận sshd[722]: Kết nối bị đóng bởi người dùng không hợp lệ root root 179.43.156.154 cổng 57448 [preauth]
Ngày 17 tháng 4 05:40:58 matrix sshd[760]: Kết nối từ 179.43.156.154 cổng 54992 trên 38.105.209.109 cổng 2206 rdomain ""
Ngày 17 tháng 4 05:40:58 matrix sshd[760]: Root người dùng không hợp lệ từ cổng 179.43.156.154 54992
Ngày 17 tháng 4 05:40:58 ma trận sshd[760]: Kết nối bị đóng bởi người dùng không hợp lệ root root 179.43.156.154 cổng 54992 [preauth]
Ngày 17 tháng 4 07:13:51 matrix sshd[777]: Kết nối từ 179.43.156.154 cổng 59646 trên 38.105.209.109 cổng 2206 rdomain ""
Ngày 17 tháng 4 07:13:51 matrix sshd[777]: Root người dùng không hợp lệ từ cổng 179.43.156.154 59646
Ngày 17 tháng 4 07:13:51 ma trận sshd[777]: Kết nối bị đóng bởi người dùng không hợp lệ root root 179.43.156.154 cổng 59646 [preauth]
Ngày 17 tháng 4 07:49:33 matrix sshd[789]: Kết nối từ 179.43.156.154 cổng 33684 trên 38.105.209.109 cổng 2206 rdomain ""
Ngày 17 tháng 4 07:49:33 matrix sshd[789]: Root người dùng không hợp lệ từ cổng 179.43.156.154 33684
Ngày 17 tháng 4 07:49:33 ma trận sshd[789]: Kết nối bị đóng bởi người dùng không hợp lệ root root 179.43.156.154 cổng 33684 [preauth]
Ngày 17 tháng 4 08:20:43 matrix sshd[801]: Kết nối từ 179.43.156.154 cổng 55522 trên 38.105.209.109 cổng 2206 rdomain ""
Ngày 17 tháng 4 08:20:44 matrix sshd[801]: Root người dùng không hợp lệ từ cổng 179.43.156.154 55522
Ngày 17 tháng 4 08:20:44 ma trận sshd[801]: Kết nối bị đóng bởi người dùng không hợp lệ root root 179.43.156.154 cổng 55522 [preauth]
Ngày 17 tháng 4 08:44:07 matrix sshd[805]: Kết nối từ 179.43.156.154 cổng 39862 trên 38.105.209.109 cổng 2206 rdomain ""
Ngày 17 tháng 4 08:44:07 matrix sshd[805]: Root người dùng không hợp lệ từ cổng 179.43.156.154 39862
Ngày 17 tháng 4 08:44:07 ma trận sshd[805]: Kết nối bị đóng bởi người dùng không hợp lệ root root 179.43.156.154 cổng 39862 [preauth]
Ngày 17 tháng 4 09:44:54 matrix sshd[822]: Kết nối từ 179.43.156.154 cổng 42592 trên 38.105.209.109 cổng 2206 rdomain ""
Ngày 17 tháng 4 09:44:54 matrix sshd[822]: Root người dùng không hợp lệ từ cổng 179.43.156.154 42592
Ngày 17 tháng 4 09:44:54 ma trận sshd[822]: Kết nối bị đóng bởi người dùng không hợp lệ root root 179.43.156.154 cổng 42592 [preauth]
...

Tại sao IP 179.43.156.154 tiếp tục cố gắng kết nối nếu fail2ban dường như hoạt động VÀ bất kỳ kết nối nào từ 179.43.156.154 đều bị từ chối? (xem đầu ra của iptables ở trên)

48
0 + 0
Điểm:0
Moso avatar Server
lá cờ my
Moso

Vấn đề là... Tôi!

Tôi đã đoán sai rằng fail2ban đã cấm cổng được phát hiện (như đã trình bày ở trên, 2206).

Một điều khác dẫn tôi đến kết luận sai là đầu ra của Sudo iptables -L -n | grep179.43.156.154.

TỪ CHỐI tất cả -- 179.43.156.154 0.0.0.0/0 reject-with icmp-port-unreachable

Tôi không xem xét quy tắc đó nằm trong chuỗi nào ...

Nó chỉ thêm một dòng với cổng tôi đang sử dụng trên sshd và sự cố (do tôi gây ra) đã được giải quyết.

[peracchi@matrix ~]$ mèo /etc/fail2ban/jail.d/sshd.local
[sshd]
  đã bật = đúng
  bộ lọc = sshd
  cổng = 2206
  lệnh cấm = iptables
  phụ trợ = systemd
  thử lại tối đa = 5
  thời gian tìm = 1d
  bantime = 30d
  bỏ qua = 127.0.0.1/8 a.b.c.d/32 x.y.z.w/32

“Một người đàn ông không thể học những gì anh ta nghĩ rằng anh ta đã biết.” - Epictetus

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.