Регистрация Войти
Рейтинг:0
Deeepdigger avatar Server

Fail2ban не блокирует попытки ssh

флаг cn
Deeepdigger

Я настроил fail2ban для блокировки неудачных попыток ssh. Я проверил правило с помощью fail2ban-regex и выдержки из моих журналов, все работает нормально.

Я также проверил журналы на наличие уведомления «Бан» и рассматриваемого IP-адреса, и он там:

zgrep 'Бан.*202.29.214.13' /var/log/fail2ban.log*
/var/log/fail2ban.log:2021-08-23 01:27:19,023 fail2ban.actions [1460]: УВЕДОМЛЕНИЕ [sshd] Запрет 202.29.214.13

Однако мои журналы ssh/auth по-прежнему показывают попытки с этого IP-адреса. после рассматриваемая временная метка:

23 августа, 01:27:23 myhost123 sshd[4526]: сообщение повторяется 2 раза: [Неверный пароль для root с порта 202.29.214.13 47633 ssh2]
23 августа, 01:27:23 myhost123 sshd [4526]: ошибка: превышено максимальное количество попыток аутентификации для root с порта 202.29.214.13 47633 ssh2 [preauth]
23 августа, 01:27:23 myhost123 sshd[4526]: отключение аутентификации пользователя root 202.29.214.13, порт 47633: слишком много ошибок аутентификации [preauth]
23 августа, 01:27:31 myhost123 sshd[4533]: сообщение повторяется 2 раза: [Неверный пароль для root с порта 202.29.214.13 50424 ssh2]
23 августа, 01:27:31 myhost123 sshd [4533]: ошибка: превышено максимальное количество попыток аутентификации для root с порта 202.29.214.13 50424 ssh2 [preauth]
23 августа, 01:27:31 myhost123 sshd[4533]: отключение аутентификации пользователя root 202.29.214.13, порт 50424: слишком много ошибок аутентификации [preauth]
23 августа, 01:27:39 myhost123 sshd [4535]: ошибка: превышено максимальное количество попыток аутентификации для root с порта 202.29.214.13 53056 ssh2 [preauth]
23 августа, 01:27:39 myhost123 sshd[4535]: отключение аутентификации пользователя root 202.29.214.13, порт 53056: слишком много ошибок аутентификации [preauth]
23 августа, 01:27:48 myhost123 sshd [4542]: ошибка: превышено максимальное количество попыток аутентификации для root с порта 202.29.214.13 55901 ssh2 [preauth]
23 августа, 01:27:48 myhost123 sshd[4542]: отключение аутентификации пользователя root 202.29.214.13, порт 55901: слишком много ошибок аутентификации [preauth]
23 августа, 01:27:55 myhost123 sshd [4551]: ошибка: превышено максимальное количество попыток аутентификации для root с порта 202.29.214.13 58908 ssh2 [preauth]
23 августа, 01:27:55 myhost123 sshd[4551]: отключение аутентификации пользователя root 202.29.214.13, порт 58908: слишком много ошибок аутентификации [preauth]
23 августа, 01:28:03 myhost123 sshd [4565]: ошибка: превышено максимальное количество попыток аутентификации для root с порта 202.29.214.13 61129 ssh2 [preauth]
23 августа, 01:28:03 myhost123 sshd[4565]: отключение аутентификации пользователя root 202.29.214.13, порт 61129: слишком много ошибок аутентификации [preauth]
23 августа, 01:28:23 myhost123 sshd [4577]: ошибка: превышено максимальное количество попыток аутентификации для недействительного пользователя-администратора с порта 202.29.214.13 3511 ssh2 [preauth]
23 августа, 01:29:24 myhost123 sshd [4613]: ошибка: превышено максимальное количество попыток аутентификации для недействительного пользовательского оракула с порта 202.29.214.13 24149 ssh2 [preauth]
23 августа, 01:30:07 myhost123 sshd [4641]: ошибка: превышено максимальное количество попыток аутентификации для недопустимого пользователя usuario с порта 202.29.214.13 37311 ssh2 [preauth]
23 августа, 01:30:15 myhost123 sshd [4647]: ошибка: превышено максимальное количество попыток аутентификации для недопустимого пользователя usuario с порта 202.29.214.13 39486 ssh2 [preauth]
23 августа, 01:30:58 myhost123 sshd [4684]: ошибка: превышено максимальное количество попыток аутентификации для недопустимого теста пользователя с порта 202.29.214.13 52882 ssh2 [preauth]
23 августа, 01:31:33 myhost123 sshd [4699]: ошибка: превышено максимальное количество попыток аутентификации для недопустимого пользователя с 202.29.214.13, порт 64849 ssh2 [preauth]

Должен ли fail2ban полностью блокировать все запросы с этого IP-адреса? Любые подсказки о том, что проверить, приветствуются.

134
1 + 1
флаг jp
Dom
Проверьте, возвращает ли «iptables -L -nv» что-то о f2b-ssh. Проверьте журналы fail2ban вокруг журнала банов: возможно, есть ошибка при попытке установить iptables на место.
1
Ответить
Рейтинг:0
Deeepdigger avatar Server
флаг cn
Deeepdigger

Благодаря подсказке Дома: ограничение iptables является основной причиной проблемы.

Проверка с помощью:

grep "iptables: проблема с выделением памяти" /var/log/fail2ban.log

egrep "failcnt|numiptent" /proc/user_beancounters

Кажется, я не могу изменить лимит iptables, это может сделать только мой провайдер.

0 + 2
Michael Hampton avatar
флаг cz
Michael Hampton
Это еще одна проблема с OpenVZ. Рекомендуется избегать OpenVZ и использовать VPS с настоящей виртуализацией.
0
Ответить
sebres avatar
флаг il
sebres
если ядро ​​вашего хоста поддерживает ipset и вы можете использовать его поверх OpenVZ, вы можете переключиться на некоторые из действий iptables-ipset, поэтому он создает только одну цепочку iptables для каждой тюрьмы, и все IP-адреса переходят на ipset (что намного быстрее и, надеюсь, на вашу систему не влияют такие строгие ограничения, как `iptables`).
1
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.