Fail2Ban은 IP를 차단하지만 여전히 나를 공격할 수 있습니다. 내가 뭘 잘못하고 있는 걸까요?

2024-6-9 • tag-icon

Fail2Ban은 IP를 차단하지만 여전히 나를 공격할 수 있습니다. 내가 뭘 잘못하고 있는 걸까요?

저는 현재 Fedora 36을 사용하여 첫 번째 Linux 서버를 구축하고 있습니다. SSH를 활성화하고 봇이 내 서버에 연결을 시도하고 있다는 것을 깨달았습니다. 약간의 조사 끝에 Fail2ban을 찾아서 설치했습니다. 잘 작동해서 문제가 해결된 줄 알았는데, 몇 번 시도하고 Fail2ban이 차단한 후에도 여전히 공격을 하고 있습니다. 그들이 지속적인 연결을 사용하고 있다는 것을 읽었습니까? 이 문제를 해결할 수 있는 방법이 있나요? 아니면 다른 질문이 있나요?

이것은 내 설정입니다.

/etc/fail2ban/jail.local

[DEFAULT]
banaction = iptables-allports

[sshd]
enabled = true
port = all
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = -1

/var/log/auth.log는 실제로 존재하지 않으므로 어디서 데이터를 가져오는지는 모르겠지만 일부 내용을 읽고 사람들을 금지합니다.

/var/log/fail2ban.log 누군가가 3번의 시도 후에도 여전히 공격할 수 있으며 차단되지 않습니다.

2022-08-19 23:40:18,366 fail2ban.server         [2588]: INFO    Reload jail 'sshd'
2022-08-19 23:40:18,367 fail2ban.filter         [2588]: INFO      maxLines: 1
2022-08-19 23:40:18,369 fail2ban.filtersystemd  [2588]: INFO    [sshd] Added journal match for: '_SYSTEMD_UNIT=sshd.service + _COMM=sshd'
2022-08-19 23:40:18,369 fail2ban.filter         [2588]: INFO      maxRetry: 3
2022-08-19 23:40:18,369 fail2ban.filter         [2588]: INFO      findtime: 600
2022-08-19 23:40:18,369 fail2ban.actions        [2588]: INFO      banTime: -1
2022-08-19 23:40:18,369 fail2ban.filter         [2588]: INFO      encoding: UTF-8
2022-08-19 23:40:18,370 fail2ban.server         [2588]: INFO    Jail 'sshd' reloaded
2022-08-19 23:40:18,371 fail2ban.server         [2588]: INFO    Reload finished.
2022-08-19 23:43:07,478 fail2ban.filter         [2588]: INFO    [sshd] Found 79.232.107.204 - 2022-08-19 23:43:07
2022-08-19 23:43:07,480 fail2ban.filter         [2588]: INFO    [sshd] Found 79.232.107.204 - 2022-08-19 23:43:07
2022-08-19 23:43:09,228 fail2ban.filter         [2588]: INFO    [sshd] Found 79.232.107.204 - 2022-08-19 23:43:08
2022-08-19 23:43:09,229 fail2ban.filter         [2588]: INFO    [sshd] Found 79.232.107.204 - 2022-08-19 23:43:08
2022-08-19 23:43:09,350 fail2ban.actions        [2588]: NOTICE  [sshd] Ban 79.232.107.204
2022-08-19 23:49:04,030 fail2ban.filter         [2588]: INFO    [sshd] Found 1.117.78.189 - 2022-08-19 23:49:03
2022-08-19 23:49:04,030 fail2ban.filter         [2588]: INFO    [sshd] Found 1.117.78.189 - 2022-08-19 23:49:03
2022-08-19 23:49:04,031 fail2ban.filter         [2588]: INFO    [sshd] Found 1.117.78.189 - 2022-08-19 23:49:03
2022-08-19 23:49:04,031 fail2ban.filter         [2588]: INFO    [sshd] Found 1.117.78.189 - 2022-08-19 23:49:03
2022-08-19 23:49:04,032 fail2ban.filter         [2588]: INFO    [sshd] Found 1.117.78.189 - 2022-08-19 23:49:03
2022-08-19 23:49:04,032 fail2ban.filter         [2588]: INFO    [sshd] Found 1.117.78.189 - 2022-08-19 23:49:03
2022-08-19 23:49:04,032 fail2ban.filter         [2588]: INFO    [sshd] Found 1.117.78.189 - 2022-08-19 23:49:03
2022-08-19 23:49:04,033 fail2ban.filter         [2588]: INFO    [sshd] Found 1.117.78.189 - 2022-08-19 23:49:03
2022-08-19 23:49:04,353 fail2ban.actions        [2588]: NOTICE  [sshd] Ban 1.117.78.189
2022-08-19 23:49:06,478 fail2ban.filter         [2588]: INFO    [sshd] Found 1.117.78.189 - 2022-08-19 23:49:06
2022-08-19 23:49:06,479 fail2ban.filter         [2588]: INFO    [sshd] Found 1.117.78.189 - 2022-08-19 23:49:06
...

iptables -L -nv

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
13336  897K f2b-sshd   all  --  *      *       0.0.0.0/0            0.0.0.0/0
12829  859K f2b-sshd   all  --  *      *       0.0.0.0/0            0.0.0.0/0
13026  874K f2b-sshd   all  --  *      *       0.0.0.0/0            0.0.0.0/0
13170  888K f2b-sshd   all  --  *      *       0.0.0.0/0            0.0.0.0/0
16162 1358K f2b-sshd   all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain f2b-sshd (5 references)
 pkts bytes target     prot opt in     out     source               destination
  507 38384 REJECT     all  --  *      *       1.117.78.0/24        0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       79.232.107.0/24      0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       94.131.132.0/24      0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       82.65.33.0/24        0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       82.157.143.0/24      0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       76.186.2.0/24        0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       61.177.173.0/24      0.0.0.0/0            reject-with icmp-port-unreachable
...

나도 이것저것 설정해봤어

/etc/sysctl.conf

net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1

또한 /24를 사용하여 전체 네트워크를 금지하도록 설정했지만 어디에 넣었는지 기억이 나지 않습니다.

내 문제가 무엇인지 아는 사람이 있거나 추가 정보가 필요한 경우 알려주시기 바랍니다.

감사해요

답변1

확인 해봐:https://www.linuxcapable.com/how-to-install-fail2ban-with-firewalld-on-fedora-35/

Fedora는 iptable 대신 방화벽을 사용하지 않습니까? 두 가지를 혼합하지 말고 둘 중 하나만 사용해야 합니다.

이를 확인하려면 다음을 확인하십시오. systemctl status firewalld및 systemctl is-enabled firewalld. 그렇다면 방화벽을 사용하도록 FAIL2BAN을 재구성하십시오.

답변2

활성화된 recidive섹션 jail.local. 이는 더 긴 스캔 시간(내 경우에는 5일)을 처리할 수 있으며 이전에 본 느리지만 꾸준한 시도를 포착하는 것 같습니다.

이것은 내 설정입니다. fail2ban.log파일을 검사하여 금지된 호스트만 고려한다는 점에 유의하세요.

[recidive]

enabled   = true
logpath   = /var/log/fail2ban.log
maxretry  = 3
findtime  = 432000      ; 5 day
bantime   = 2419200     ; 4 week

답변1

답변2

관련 정보