Tham gia Đăng nhập
Điểm:0
avatar Ubuntu

Lỗ hổng Fail2Ban sau khi khởi động lại

lá cờ br
Rick

Tôi rất hài lòng với fail2ban vì đã bảo vệ máy chủ của tôi ngoại trừ một vấn đề. Sau khi khởi động lại, từng địa chỉ ip bị cấm sẽ được thêm vào iptables cùng một lúc. Trên một máy chủ, tôi có khoảng 7500 địa chỉ IP bị cấm vĩnh viễn và phải mất vài phút để tải. Có một khoảng thời gian nhỏ để các địa chỉ IP bị cấm đó truy cập sau mỗi lần khởi động lại.

Làm thế nào để những người khác xử lý lỗ hổng rất nhỏ này?

Cảm ơn

46
0 + 0
Doug Smythies avatar
lá cờ gn
Doug Smythies
Tôi sẽ chuyển 7500 địa chỉ IP bị cấm vĩnh viễn sang danh sách ipset, được thiết kế cho các danh sách lớn.Bạn cũng có thể cập nhật danh sách sau khi các IP bị cấm mới đạt đến kích thước mà bạn muốn giảm tải lại. Mặc dù vậy, vẫn sẽ có một khoảng trống nhỏ sau khi khởi động lại. Thông qua ipset, tôi chặn 5 quốc gia với tổng số 21428 mạng con IP và trong lần khởi động cuối cùng của tôi, có 15 gói INPUT và 42 OUTPUT trước khi bộ quy tắc iptables tải xong.
0
Hồi đáp
lá cờ br
Rick
Cảm ơn! Tôi rất thích bài viết này, https://www.linuxjournal.com/content/advanced-firewall-configurations-ipset Đặc biệt, tôi thích ý tưởng cấm tất cả các ip dùng thử cổng 25. Rất tuyệt. Nhưng tôi muốn loại bỏ cửa sổ dễ bị tổn thương này nếu có thể, chứ không chỉ giảm kích thước của nó. Ngoài ra, tại một thời điểm, tôi đã ghi lại khoảng 1/2 các cuộc tấn công của mình đến từ cùng một dịch vụ lưu trữ mà trang web của tôi đang sử dụng. Tôi quyết định rằng việc chặn theo quốc gia là không đáng.
0
Hồi đáp
lá cờ br
Rick
Ngoài ra, https://github.com/ritsu/ipset-fail2ban có vẻ rất hữu ích. Nhưng vẫn chỉ làm giảm kích thước của cửa sổ dễ bị tổn thương.
0
Hồi đáp
Doug Smythies avatar
lá cờ gn
Doug Smythies
Tôi sử dụng tập lệnh để tải bộ quy tắc iptables khá phức tạp của mình, bao gồm cả ipsets của tôi, sau khi khởi động. Tôi cho rằng một người có thể đặt quy tắc chuỗi INPUT đầu tiên là DROP toàn cầu và xóa quy tắc đó sau khi mọi thứ khác đã được tải.
0
Hồi đáp
lá cờ br
Rick
Bài viết này dường như có những gì tôi muốn. https://dhtar.com/make-ipset-and-iptables-configurations-persistent-in-debianubuntu.html Tôi không hiểu tại sao đó không phải là mặc định.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.