Início / server / Perguntas / 1152414
Accepted
xstack
Asked: 2024-01-28 07:01:08 +0800 CST

Tentando entender se o fail2ban está funcionando no Debian 10 VPS

  • 772

Eu tenho um servidor Debian 10 rodando em um VPS. O único software que instalei é: tinyproxy (proxy http) e fail2ban

Incluí os resultados da varredura de porta usando nmap

Incluí minhas configurações específicas no arquivo fail2ban jail.local.

Incluí minhas configurações específicas no arquivo fail2ban fail2ban.local.

Incluí abaixo uma amostra de entradas do log de autenticação.

Incluí abaixo uma amostra de entradas do log fail2ban.

Incluí meus resultados da varredura de amostra do IpTables.

Não entendo se o fail2ban está funcionando, ou seja, fazendo com que os IPs sejam bloqueados com base nas entradas nas tabelas de IP que o fail2ban fez.

Como exemplo:

== auth.log mostra tentativa de entrada por 192.241.141.43, quase a cada minuto

== fail2ban.log mostra que 192.241.141.43 foi banido

== Iptables mostra que 192.241.141.43 está banido

Achei que, com base no bloqueio do IP, o usuário mal-intencionado NÃO seria capaz de tentar fazer login. No entanto, parece que esses usuários estão realmente conseguindo tentar logins.

MINHAS PERGUNTAS, por favor:

  1. Parece que o fail2ban está funcionando?
  2. Por que usuários mal-intencionados podem até tentar fazer login se forem banidos?

Muito obrigado !

=== === Resultados da varredura nmap

# A varredura do Nmap 7.80 foi iniciada em sábado, 27 de janeiro, 15:25:04 de 2024 como: nmap -sS -oG out.txt

107.174.156.124

Anfitrião: 107.174.156.124 (107-174-156-124-host.colocrossing.com)   
Status:
Acima
Anfitrião: 107.174.156.124 (107-174-156-124-host.colocrossing.com)   
Portas:
139/filtrado/tcp//netbios-ssn///,
445/filtrado/tcp//microsoft-ds///,
8888/open/tcp//sun-answerbook///    
Estado ignorado: fechado (997)

# Nmap feito em sábado, 27 de janeiro 15:25:06 2024
-- 1 endereço IP (1 host ativado) verificado em 2,20 segundos

=== === Aqui estão minhas entradas em jail.local

#
# CADEIAS
#

#
#servidores SSH
#

[sshd]

# Para usar modos sshd mais agressivos, defina o parâmetro de filtro "mode" em jail.local:
# normal (padrão), ddos, extra ou agressivo (combina tudo).
# Consulte "tests/files/logs/sshd" ou "filter.d/sshd.conf" para obter exemplos de uso e detalhes.
#modo = normal
habilitado = verdadeiro
modo = agressivo
porta = 63xxx
filtro=sshd
logpath = /var/log/auth.log
bantime = 2.000.000
tempo de localização = 7200
tentativa máxima = 2
back-end = %(sshd_backend)s
ação = iptables-multiport[nome=sshd, porta="ssh", protocolo=tcp]

=== === Aqui estão minhas entradas em fail2ban.local

# Opções: dbpurgeage
# Notas.: Define a idade em que os banimentos devem ser eliminados do banco de dados
# Valores: [SEGUNDOS] Padrão: 86400 (24 horas)
dbpurgeage = 2100000

=== === Aqui está um exemplo de log de autenticação

Por exemplo, existem várias tentativas por 192.241.141.43 E isso se repete quase a cada minuto!

27 de janeiro 15:54:55 racknerd-64d010 sshd[2232]: pam_unix(sshd:auth): falha de autenticação; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.241.141.43 usuário=root
27 de janeiro 15:54:57 racknerd-64d010 sshd [2232]: Falha na senha para root da porta 192.241.141.43 54798 ssh2
27 de janeiro 15:54:57 racknerd-64d010 sshd [2232]: Desconexão recebida da porta 192.241.141.43 54798:11: Tchau, tchau [preauth]
27 de janeiro 15:54:57 racknerd-64d010 sshd [2232]: Desconectado da autenticação do usuário root 192.241.141.43 porta 54798 [preauth]

=== === Aqui está um exemplo de fail2ban

Por exemplo, fail2ban diz que 192.241.141.43 está banido

2024-01-27 15:55:50.928 fail2ban.actions [29992]: AVISO [sshd] 82.102.12.130 já banido
2024-01-27 15:55:50.929 fail2ban.actions [29992]: AVISO [sshd] 192.241.141.43 já banido
27/01/2024 15:55:50.929 fail2ban.actions [29992]: AVISO [sshd] 159.75.161.40 já banido

=== === Resultados da verificação do Iptables

IP 192.241.141.43 está banido

    0 0 REJEITAR tudo -- * * 61.231.64.170 0.0.0.0/0 rejeitar com porta icmp inacessível
    0 0 REJEITAR tudo -- * * 192.241.141.43 0.0.0.0/0 rejeitar com porta icmp inacessível
    0 0 REJEITAR tudo -- * * 104.250.34.177 0.0.0.0/0 rejeitar com porta icmp inacessível
fail2ban

1 respostas

  1. Best Answer

    Parece que está funcionando de acordo com seu arquivo de log.

    /var/log/fail2ban.log

    Fail2ban também possui sua própria ferramenta para verificar o status fail2ban-client status sshd

    Na minha máquina onde está funcionando fica assim

    Status for the jail: sshd
|- Filter
|  |- Currently failed: 3
|  |- Total failed:     192
|  `- File list:        /var/log/auth.log
`- Actions
   |- Currently banned: 41
   |- Total banned:     41
   `- Banned IP list:   139.199.207.102 1
57.230.232.203 167.71.61.117 178.128.244.
113 185.36.81.42 221.226.2.122 222.186.16
.186 222.186.16.198 45.155.91.99 52.91.19
4.171 78.68.68.246 212.70.149.150 141.98.
11.90 85.209.11.27 138.68.111.27 183.221.
243.20 218.92.0.56 218.92.0.113 218.92.0.
112 218.92.0.22 218.92.0.25 218.92.0.76 2
18.92.0.107 85.209.11.254 218.92.0.34 218
.92.0.118 180.101.88.197 218.92.0.29 218.
92.0.24 218.92.0.27 141.98.11.11 1.117.16
8.14 180.101.88.196 218.92.0.31 88.182.25
1.194 88.214.25.16 35.243.208.234 124.222
.51.236 118.121.200.110 14.103.25.183 121
.164.71.235
    • 1

relate perguntas