Уязвимость Fail2Ban после перезагрузки

Rick

01.04.2023, 15:06

Я очень доволен, что fail2ban защитил мой сервер, за исключением одной проблемы. После перезагрузки каждый забаненный ip адрес добавляется в iptables по одному. На одном сервере у меня около 7500 перманентно забаненных ip-адресов и загрузка занимает пару минут. У этих заблокированных IP-адресов есть небольшой промежуток времени после каждой перезагрузки.

Как другие люди справляются с этой очень маленькой уязвимостью?

Спасибо

0 + 0

безопасность

сеть

гугл дартс

Doug Smythies

01.04.2023, 15:32

Я бы переместил 7500 постоянно заблокированных IP-адресов в список ipset, который предназначен для больших списков.Вы также можете обновить список после того, как новые заблокированные IP-адреса достигнут размера, который вы хотите снова разгрузить. Несмотря на это, после перезагрузки все равно будет небольшой разрыв. Через ipset я блокирую 5 стран, всего 21428 IP-подсетей, и при моей последней загрузке было 15 ВХОДНЫХ и 42 ВЫХОДНЫХ пакета, прежде чем набор правил iptables завершил загрузку.

Ответить

Rick

01.04.2023, 15:50

Спасибо! Мне очень нравится эта статья, https://www.linuxjournal.com/content/advanced-firewall-configurations-ipset В частности, мне нравится показанная идея запрета всех IP-адресов, которые пытаются использовать порт 25. Очень круто. Но хотелось бы по возможности устранить это окно уязвимости, а не просто уменьшить его размер. Кроме того, в какой-то момент я зафиксировал около 1/2 своих атак, исходящих с того же хостинга, на котором находится мой сайт. Я решил, что блокировка по стране не стоит усилий.

Ответить

Rick

01.04.2023, 15:58

Кроме того, https://github.com/ritsu/ipset-fail2ban выглядит очень полезным. Но пока только уменьшение размера окна уязвимости.

Ответить

Doug Smythies

01.04.2023, 16:11

Я использую скрипт для загрузки моего довольно сложного набора правил iptables, включая мои ipsets, после загрузки. Я предполагаю, что можно установить в качестве первого правила цепочки INPUT глобальное DROP и удалить это правило после того, как все остальное будет загружено.

Ответить

Rick

01.04.2023, 16:27

В этой статье, кажется, есть то, что я хочу. https://dhtar.com/make-ipset-and-iptables-configurations-persistent-in-debianubuntu.html Я не понимаю, почему это не по умолчанию.

Ответить

Admin

Этот вопрос на других языках:

EN: Fail2Ban vulnerability after reboot

TH: ช่องโหว่ Fail2Ban หลังจากรีบูต

RO: Vulnerabilitatea Fail2Ban după repornire

RU: Уязвимость Fail2Ban после перезагрузки

VI: Lỗ hổng Fail2Ban sau khi khởi động lại

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.