OK: 그래서 Debian 8.7 시스템에 failure2ban을 설치했습니다. 내 iptables는 다음과 같습니다.
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N fail2ban-ssh-daily
-N fail2ban-ssh-permaban
-N fail2ban-ssh-yearban
-N fail2ban-sshd
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-sshd
-A fail2ban-sshd -j RETURN
이것
-N fail2ban-sshd
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-sshd
-A fail2ban-sshd -j RETURN
기본값은 fail2ban.sshd
- 명명 규칙을 다음과 같이 지정하고 싶습니다.
-N fail2ban-ssh-daily
(기본 FAIL2BAN-SSHD 금지의 경우)-N fail2ban-ssh-permaban
(영구 금지용)-N fail2ban-ssh-yearban
(연간 금지용)
기본 구성을 사용하여 추가를 중지하고 fail2ban.sshd
, fall2ban을 사용하여 감옥을 설정하고 싶습니다. 이를 통해 다음을 수행할 수 있습니다.
- 일일 금지 체인 설정 - 일일 금지는 24시간 후에 삭제됩니다(IP도 기록하고 싶지만 /etc/fail2ban/ip.blocklist.name은 금지를 기록하지 않습니다. 파일도 생성되지 않습니다. 남아있을 때 만져요영- 저는 3개의 로그(일일, 연간, 영구)를 원합니다. 그러면 적절한 임계값에 도달하면 IP가 금지되고 올바른 체인(일일, 영구, 연간)에 배치된 다음 ip.blocklist.ssh가 생성됩니다. - daily, ip.blocklist.ssh-yearban 및 ip.blocklist.ssh-permaban) 그러나 실패2ban.sshd 체인을 제거할 수 없습니다. - "fail2ban-ssh-daily"에서 일일 금지를 확인하고 싶습니다. 어떻게 해야 합니까? 내가 지정한 체인을 유지하나요? ) 또한 iptables 규칙도 올바른지 확인하고 싶습니다.
- 연간 금지 체인 설정: 연간 금지는 내 서버에 계속해서 접속하려고 시도하는 사람들을 위한 것입니다. 이러한 사용자는 fail2ban-ssh-yearban에 배치되고 해당 IP는 ip.blocklist.yearban에 기록되고 로드됩니다. 이러한 사용자는 내 서버에서 약 100번의 시도를 한 후 1년 동안 차단됩니다.
- PERMABAN 체인 설정: PERMA 금지는 내 서버를 계속 공격하려는 사람 또는 최악의 IP(중국, 인도 등)입니다. 이러한 IP는 fail2ban-ssh-PERMABAN에 배치되고, 해당 IP가 기록되고,hosts.deny에 배치된 다음 badips.com 또는 사이트 이름이 무엇이든 보고됩니다. 내 서버에 대해 500번의 시도로 설정한 것 같습니다.
문제는 다음과 같습니다. failure2ban과 관련된 질문에 대한 일반적인 답변만 표시됩니다. action.d/iptables-multiport 파일과 필요한 모든 필터를 설정해야 하지만 iptables-ssh-daily, iptables-ssh-yearban을 구성하고 싶습니다. 및 인스턴스당 iptables-ssh-permaban 구성 파일이 있지만 시도했지만 비참하게 실패했습니다.
또한 /var/log/fail2ban.log에 많은 쓰레기가 표시되며 어떤 이유로 주소를 금지하지 않는다는 오류가 발생합니다. 알 수 없습니다. 방금 시작하고 변경하지 않는 한 오류가 발생합니다. 아무것도 - 그렇지 않으면 IP가 존재하는지 여부에 관계없이 차단 목록에 IP를 추가하지 않으며 제대로 필터링하지도 않습니다. IP가 금지되었음을 메일을 통해 알려주지만 Failtoban 로그에는 6이 표시됩니다. -7개동일한IP가 차단되었거나 로그인이 안되었거나 차단되었습니다.
내가 원하는 것을 수행하는 방법을 아는 사람이 있습니까? 이러한 시도를 추적하고 싶지만 시스템이 제대로 작동하지 않습니다.~하지 않는 한나는 그것을 유지합니다.
다음 체인 이름을 얻고 시스템에서 금지를 추가하도록 Fail2ban을 어떻게 변경합니까?적절한데일리 체인, 연간 체인, 퍼마반 체인?
그들은 모두 X로 표시되어 있습니다.빨간색그리고 failure2ban.sshd는 여전히 존재합니다. 녹색 편집은 도움이 되지 않았으며 내가 묻는 질문에 대답하지 않았습니다.
- 사용하려는 규칙은 다음과 같습니다. -N failure2ban-ssh-daily(기본 FAIL2ban-Sshd 금지용) -N failure2ban-ssh-permaban(영구 금지용) -N failure2ban-ssh-yearban(연간 금지용)(추가 - N IP가 가는 유일한 장소인 Fail2ban.sshd)
- 각 금지 유형에 대해 iptables 파일을 구성하고 관련 체인인 ip.blocklist.daily, ip.blocklist.yearly 및 ipblocklist.permaban에 대해 ip.blocklist를 제공하고 싶습니다.
금지 조치가 올바른 체인에 도달할 수 있도록 iptables에 대한 도움이 필요합니다. 사용하려는 감옥에 대해 아래에 ijail.local 파일을 넣겠습니다.
[ssh-daily] enabled = false filter = sshd action = iptables-ssh-daily[name=ssh-daily] sendmail-whois[name=SSH-Daily, dest=root@localhost, sender=root@localhost] logpath = %(sshd_log)s maxretry = 10 findtime = 600 bantime = 86400 [ssh-yearban] enabled = false filter = sshd action = iptables-ssh-yearban[name=ssh-yearban] sendmail-whois[name=SSH-Yearban, dest=root@localhost, sender=root@localhost] logpath = %(sshd_log)s maxretry = 35 findtime = 3153600 bantime = 3153600 [ssh-permaban] enabled = true filter = sshd action = iptables-ssh-permaban[name=ssh-permaban] sendmail-whois[name=SSH-PermaBan dest=root@localhost, sender=root@localhost] logpath = %(sshd_log)s maxretry = 100 findtime = -3153600 bantime = -3153600
감옥은 작동해야 하지만 각 스탠자에 대해 Daily, Yearly 및 Permaban 체인 및 차단 목록에 IP를 추가하는지 확인해야 합니다. 모든 곳에서 문제가 발생하고 많은 문제가 있습니다.쓰레기in /var/log/fail2ban.log
- 설정을 사용자 정의하고 싶지만 작동할 수 없습니다.
이제 올바른 규칙으로 iptables를 편집하기 위해 무엇을 해야 하는지 알려주고 액션 라인이 작동하는지 확인하는 데 도움을 줄 수 있습니까?