主页 / server / 问题 / 632774
Accepted
SteadH
Asked: 2014-10-02 06:45:26 +0800 CST

CentOS 6.5 上的 Fail2Ban 从不禁止

  • 772

环境:*CentOS 6.5 *Fail2Ban 0.8.14-1 *date 输出正确的日期

行为:Fail2ban 成功启动,但在错误的 SSH 登录尝试后不会创建 iptables 块。我现在只关心 SSH。我尝试使用本指南重新安装:https ://www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-fail2ban-on-centos-6

Fail2Ban 过去可以工作 - 但通过系统更新,它似乎已经停止工作。如果我跑 

sudo service fail2ban restart

我收到一封电子邮件说监狱已经停止,另一封电子邮件说监狱已经开始,所以fail2ban 似乎正在运行并且正常运行。

我的 /etc/fail2ban/jail.local 文件包含以下条目:

[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
       sendmail-whois[name=SSH, [email protected], [email protected], sendername="Fail2Ban"]
logpath  = /var/log/secure
maxretry = 5

我的 IP 地址未列在 ignoreip 声明中。我正在使用 600 的标准 bantime、600 的 findtime 和 3 的 maxretry。

当我查看 /var/log/secure 时,我看到很多失败的尝试:

Sep 30 00:17:02 nebo unix_chkpwd[3796]: password check failed for user (root)
Sep 30 00:17:02 nebo sshd[3794]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=60.173.26.189  user=root

iptables -L 似乎报告 fail2ban 确实有一个链:

Chain fail2ban-SSH (2 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere

我目前最好的客人是 actions.d/sshd.conf 中的 sshd 操作正在使用正则表达式来查看日志文件,但它与 CentOS 日志的当前语法不匹配,从而被禁止尝试。

时间不同步:为什么 fail2ban 不阻止失败?

运行 fail2ban-regex 来测试我的理论,看起来我可能走在正确的轨道上:

[isdept@nebo action.d]$ sudo fail2ban-regex /var/log/secure /etc/fail2ban/filter.d/sshd.conf 

Running tests
=============

Use   failregex file : /etc/fail2ban/filter.d/sshd.conf
Use         log file : /var/log/secure


Results
=======

Failregex: 0 total

Ignoreregex: 0 total

Date template hits:
|- [# of hits] date format
|  [22655] MONTH Day Hour:Minute:Second
`-

Lines: 22655 lines, 0 ignored, 0 matched, 22655 missed
Missed line(s): too many to print.  Use --print-all-missed to print all 22655 lines

我不完全确定如何修改正则表达式来解决这个问题(如果这是问题的话),但我惊讶地发现我没有找到一个简单的解决方法,因为 CentOS 很常见。我很乐意提供任何其他信息。感谢您提供的任何提示或指示!

为了安全起见 - 我目前正在禁用对此主机的公共访问。

centos

4 个回答

  1. Best Answer

    好吧,我不是正则表达式大师(甚至不是新手),但我确实设法通过添加:

    ^.*authentication failure;.*rhost=<HOST>

    到 filters.d/sshd.conf。这样做了,我已经成功地禁止了我的第一个主机。如果有任何正则表达式专家愿意加入,我将不胜感激。我敢肯定,我在这个简短的表达式中缺少一个案例,在某些情况下会失败。

    谢谢!

    • 3

  2. @SteadH 在您最初的帖子中,您有以下内容:

    [ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
       sendmail-whois[name=SSH, [email protected], [email protected], sendername="Fail2Ban"]
logpath  = /var/log/secure
maxretry = 5

    [ssh-iptables]:作为过滤器名称/引用和

    filter = sshd : 是 /filter.d (sshd.conf) 中带有正则表达式过滤器的文件

    那么您的上一篇文章是您正在对 sshd-iptables.conf 进行编辑吗?您对 sshd.conf 进行了 fail2ban-regex 检查吗?您使用的是哪个文件?以及哪一个存在或两者都存在。我可以帮助你使用正则表达式模式,但我需要确保我正在寻找正确的模式来匹配。

    • 2

  3. 我今天也在解决同样的问题,也在 centos 6.5 上。

    在我的情况下,发行版文件名为 filters.d/sshd.conf,而不是您所写的 filters.d/sshd-iptables.conf。不知道为什么你和我的会有所不同。但无论如何我相信问题是相同的。

    我的secure.log 中的一个示例条目是这样的:

    Oct 11 11:11:11 myhostname sshd[12345]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=1.2.3.4

    发行版 filters.d/sshd.conf 中最匹配的失败正则表达式是这个:

    ^%(__prefix_line)s(?:error: PAM: )?[aA]uthentication (?:failure|error) for .* from <HOST>( via \S+)?\s*$

    由于“from”和“via”字符串而没有“rhost=”字符串,这显然与上面的示例不匹配。下面列出了我解决此问题的尝试。

    • 第一个模组,不匹配:

      ^%(__prefix_line)s(?:error: PAM: )?[aA]uthentication (?:failure|error); .* rhost=<HOST> .*$

    • 第二个模组,不匹配:

      ^%(__prefix_line)[aA]uthentication (?:failure|error); .* rhost=<HOST> .*$

    • 第三个模组,匹配:

      [aA]uthentication (?:failure|error); .* rhost=<HOST> .*$

    __prefix_line 正则表达式子表达式来自 filters.d/common.conf 并且是尝试匹配已知 linux 日志条目前缀格式的所有可能排列的一个很好的尝试,但不幸的是它需要针对我们特定的 centos 6.5 情况进行一些调整。我可能会对此有所了解,但乍一看 common.conf 的正则表达式会让我头疼。没有 __prefix_line 的不太复杂的正则表达式可能就足够了。

    • 1

  4. @SteadH 根据您的解决方案,我发现了问题的根源。在某些正则表达式中,sshd 过滤器都以匹配行尾的 '$' (美元)结尾(我注意到你的修复没有)。好吧,我删除了美元,还有中提琴!它开始工作了!我认为这里面的某个地方可能存在一些错误配置,导致“$”不起作用。无论如何,请尝试修复。

    • 0

相关问题