Fail2ban을 통해 차단되면 클라이언트 터미널에서 이런 일이 발생합니까?

tag-icon tag-icon security iptables fail2ban
Fail2ban을 통해 차단되면 클라이언트 터미널에서 이런 일이 발생합니까?

저는 새로운 서버 관리자입니다. 방금 우분투 12.04 VPS에서 fall2ban을 설정했습니다. 나는 사용했다이것지도 시간. 그런 다음 친구의 컴퓨터에서 SSH를 통해 시스템에 로그인을 시도했습니다. "작업 시간 초과"가 표시됩니다. 이는 Fail2ban이 역할을 한다는 것을 의미하는 것 같습니다. 하지만 확실하게 다시 확인하고 싶었습니다. Fail2ban이 귀하의 IP를 차단할 때 클라이언트 측에서 이런 일이 발생합니까? fall2ban/iptables가 서버 측에서 시작을 허용하지 않기 때문에 SSH 로그인 시간이 초과됩니까?

$ ssh -p# user@IP
user@IP's password: 
Permission denied, please try again.
user@IP's password: 
Permission denied, please try again.
user@IP's password: 
^C
$ ssh -p# user@IP
ssh: connect to host IP port #: Operation timed out
$ ssh -p# user@IP
ssh: connect to host IP port #: Operation timed out

답변1

이 튜토리얼을 보면 다음과 같은 제목의 내용과 일치하는 시간 초과가 표시될 것이라고 나와 있습니다.Fail2ban - Rackspace 지식 센터.

발췌

Fail2ban을 테스트하여 원하는 대로 작동하는지 확인하겠습니다. 몇 번의 SSH 로그인 시도 실패를 통해 이 작업을 수행하겠습니다.

우리는 보호하려는 서버와 공격자 역할을 할 다른 컴퓨터라는 두 대의 컴퓨터를 사용합니다.

  • 공격 머신 IP: 123.45.67.89
  • 서버 IP: 98.76.54.32

테스트를 실행하려면 공격 시스템에 로그인하고 서버에 SSH를 5번 시도하면 됩니다. 예를 들어:

   $ ssh [email protected]

여섯 번째 시도 후(ssh의 maxretry를 5로 설정했다고 가정) SSH를 다시 ​​시도하면 연결 시간이 초과됩니다.

노트:마지막 문장은 보시는 바와 같습니다!

fail2ban다음과 유사한 이메일 전송을 설정할 수도 있습니다 .

이메일을 보내도록 Fail2ban을 설정한 경우 다음과 같은 메시지가 나타나는지 확인하세요.

    From fail2ban@ITSecurity  Thu Jul 16 04:59:24 2009
    Subject: [Fail2Ban] ssh: banned 123.45.67.89
    Hi,

    The ip 123.45.67.89 has just been banned by Fail2Ban after 5 attempts 
    against ssh.

    Here are more information about 123.45.67.89:

    {whois info}

    Lines containing IP:123.45.67.89 in /var/log/auth.log

    Jul 16 04:59:16 example.com sshd[10390]: Failed password for root from 123.45.67.89 port 46023 ssh2
    Jul 16 04:59:18 example.com sshd[10390]: Failed password for root from 123.45.67.89 port 46023 ssh2
    Jul 16 04:59:20 example.com sshd[10390]: Failed password for root from 123.45.67.89 port 46023 ssh2
    Jul 16 04:59:21 example.comsshd[10394]: reverse mapping checking getaddrinfo for 123.45.67.89.example.com [123.45.67.89] failed - POSSIBLE BREAK-IN ATTEMPT!
    Jul 16 04:59:22 example.com sshd[10394]: Failed password for root from 123.45.67.89 port 46024 ssh2

    Regards,

    Fail2Ban

아마도 가장 효과적인 신호 는 이제 공격하는 IP 주소를 차단하는 fail2ban새로운 규칙이 있다는 것입니다 .iptables

예를 들어:

iptables -L 

Chain fail2ban-ssh (1 references)
target     prot opt source               destination
DROP       all  --  208-78-96-200.realinfosec.com  anywhere

관련 정보