主页 / server / 问题 / 1152414
Accepted
xstack
Asked: 2024-01-28 07:01:08 +0800 CST

尝试了解fail2ban是否可以在Debian 10 VPS上运行

  • 772

我有一台在 VPS 上运行的 Debian 10 服务器。我安装的唯一软件是:tinyproxy(http代理)和fail2ban

我已经包含了使用 nmap 进行端口扫描的结果

我已将我的具体设置包含在fail2ban jam.local 文件中。

我已将我的具体设置包含在fail2ban failure2ban.local 文件中。

我在下面提供了来自身份验证日志的条目示例。

我在下面包含了fail2ban 日志中的条目示例。

我已经包含了 IpTables 样本扫描的结果。

我不明白fail2ban 是否起作用,即根据fail2ban 所做的IP 表中的条目导致IP 被阻止。

例如:

== auth.log 几乎每分钟都会显示 192.241.141.43 尝试输入的信息

==fail2ban.log显示192.241.141.43被禁止

== iptables显示192.241.141.43被禁止

我认为基于 IP 被阻止,恶意用户将无法尝试登录。然而,这些用户似乎确实能够尝试登录。

我的问题,请:

  1. 看来fail2ban 正在工作吗?
  2. 为什么恶意用户在被禁止的情况下仍可以尝试登录?

非常感谢 !

=== === nmap 扫描结果

# Nmap 7.80 扫描于 2024 年 1 月 27 日星期六 15:25:04 启动为:nmap -sS -oG out.txt

107.174.156.124

主机:107.174.156.124 (107-174-156-124-host.colocrossing.com)   
地位:
向上
主机:107.174.156.124 (107-174-156-124-host.colocrossing.com)   
端口:
139/过滤/tcp//netbios-ssn///,
445/过滤/tcp//微软-ds///,
8888/open/tcp//sun-answerbook///    
忽略状态:关闭(997)

# Nmap 于 2024 年 1 月 27 日星期六 15:25:06 完成
-- 2.20 秒内扫描 1 个 IP 地址(1 个主机)

=== === 这是我在jail.local中的条目

#
# 监狱
#

#
# SSH 服务器
#

[sshd]

# 要使用更激进的 sshd 模式,请在 Jail.local 中设置过滤器参数“mode”:
# 正常(默认)、ddos、额外或攻击性(全部组合)。
# 有关使用示例和详细信息,请参阅“tests/files/logs/sshd”或“filter.d/sshd.conf”。
#模式=正常
启用=真
模式=激进
端口 = 63xxx
过滤器=sshd
日志路径 = /var/log/auth.log
班时间 = 2000000
查找时间 = 7200
最大重试次数 = 2
后端 = %(sshd_backend)s
操作= iptables-multiport [名称= sshd,端口=“ssh”,协议= tcp]

=== === 这是我在fail2ban.local中的条目

# 选项:dbpurgeage
# 注意:设置应从数据库中清除禁令的年龄
# 值:[ SECONDS ] 默认值:86400(24 小时)
数据库清除 = 2100000

=== === 这是示例身份验证日志

例如,192.241.141.43 进行了多次尝试,并且几乎每分钟都会重复一次!

1 月 27 日 15:54:55racknerd-64d010 sshd[2232]: pam_unix(sshd:auth): 身份验证失败;logname= uid=0 euid=0 tty=ssh ruser= rhost=192.241.141.43 user=root
Jan 27 15:54:57racknerd-64d010 sshd[2232]:来自 192.241.141.43 端口 54798 ssh2 的 root 密码失败
1 月 27 日 15:54:57racknerd-64d010 sshd[2232]:从 192.241.141.43 端口 54798:11 收到断开连接:再见 [preauth]
1 月 27 日 15:54:57racknerd-64d010 sshd[2232]:与验证用户 root 192.241.141.43 端口 54798 [preauth] 断开连接

=== === 这是fail2ban的示例

例如,fail2ban 表示 192.241.141.43 已被禁止

2024-01-27 15:55:50,928 failed2ban.actions [29992]:警告 [sshd] 82.102.12.130 已被禁止
2024-01-27 15:55:50,929 failed2ban.actions [29992]:警告 [sshd] 192.241.141.43 已被禁止
2024-01-27 15:55:50,929 failed2ban.actions [29992]:警告 [sshd] 159.75.161.40 已被禁止

=== === Iptables 扫描结果

IP 192.241.141.43 被禁止

    0 0 拒绝全部 -- * * 61.231.64.170 0.0.0.0/0 拒绝 icmp 端口不可达
    0 0 拒绝全部 -- * * 192.241.141.43 0.0.0.0/0 拒绝 icmp 端口不可达
    0 0 拒绝全部 -- * * 104.250.34.177 0.0.0.0/0 拒绝 icmp 端口不可达
fail2ban

1 个回答

  1. Best Answer

    看起来它正在根据您的日志文件工作。

    /var/log/fail2ban.log

    Fail2ban 也有自己的工具来检查状态 fail2ban-client status sshd

    在我的机器上它正在工作,看起来像这样

    Status for the jail: sshd
|- Filter
|  |- Currently failed: 3
|  |- Total failed:     192
|  `- File list:        /var/log/auth.log
`- Actions
   |- Currently banned: 41
   |- Total banned:     41
   `- Banned IP list:   139.199.207.102 1
57.230.232.203 167.71.61.117 178.128.244.
113 185.36.81.42 221.226.2.122 222.186.16
.186 222.186.16.198 45.155.91.99 52.91.19
4.171 78.68.68.246 212.70.149.150 141.98.
11.90 85.209.11.27 138.68.111.27 183.221.
243.20 218.92.0.56 218.92.0.113 218.92.0.
112 218.92.0.22 218.92.0.25 218.92.0.76 2
18.92.0.107 85.209.11.254 218.92.0.34 218
.92.0.118 180.101.88.197 218.92.0.29 218.
92.0.24 218.92.0.27 141.98.11.11 1.117.16
8.14 180.101.88.196 218.92.0.31 88.182.25
1.194 88.214.25.16 35.243.208.234 124.222
.51.236 118.121.200.110 14.103.25.183 121
.164.71.235
    • 1

相关问题