fail2ban не блокирует при неудачных попытках sshd

0

1

Всем привет! fail2ban не блокирует при неудачных попытках sshd. Я уже не знаю что с этим делать) У меня стоит ufw. Вот мой конфиг /etc/fail2ban/jail.local:

[DEFAULT]
banaction = ufw

[sshd]
enabled = true
port = ssh
filter = sshd
maxretry = 3
bantime = 3600

ошибок при systemctl status fail2ban не наблюдается

←	Как запрятать доступ в интернет?

Linux kernel 6.1+ memory used ~80%

→

fail2ban-regex /где/там/твой/ssh-лог*.log /etc/fail2ban/filter.d/sshd.conf

или

fail2ban-client status sshd

BOOBLIK ★★★★
(22.12.24 13:11:28 MSK)
Последнее исправление: BOOBLIK 22.12.24 13:12:53 MSK (всего исправлений: 1)

Забей на fail2ban и запусти простой скрипт:

http://togusak.ddnss.de/server/ipblock.sh.txt

download:

http://togusak.ddnss.de/server/ipblock.sh

./ipblock.sh install

systemctl stop ipblock.service

systemctl start ipblock.service

echo «Usage: $0 start stop status restart unban»

demo13 ★
(22.12.24 15:18:51 MSK)

Ответ на: комментарий от BOOBLIK 22.12.24 13:11:28 MSK

Status for the jail: sshd
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     0
|  `- File list:        /home/duck/fail2ban/sshd.log
`- Actions
   |- Currently banned: 0
   |- Total banned:     0
   `- Banned IP list:

Duck
(22.12.24 17:42:06 MSK) автор топика

Ответ на: комментарий от Duck 22.12.24 17:42:06 MSK

/home/duck/fail2ban/sshd.log

у тебя сюда sshd пишет?

futurama ★★★★★
(22.12.24 17:52:18 MSK)

Ответ на: комментарий от demo13 22.12.24 15:18:51 MSK

Чей-то костыль против fail2ban - плохая идея.

ip -4 route, ipv6 уходит лесом.

Ну и классика cat FILE | grep something… http://www.smallo.ruhr.de/award.html

Dimez ★★★★★
(22.12.24 21:17:29 MSK)

Ответ на: комментарий от futurama 22.12.24 17:52:18 MSK

да

Duck
(22.12.24 22:04:08 MSK) автор топика

Ответ на: комментарий от futurama 22.12.24 17:52:18 MSK

и там пусто

Duck
(22.12.24 22:05:14 MSK) автор топика

Ответ на: комментарий от Duck 22.12.24 22:05:14 MSK

и там пусто

Какой вывод ты сделаешь из этого?

futurama ★★★★★
(22.12.24 22:25:26 MSK)

fail2ban не нужен. Делай вход по ключу.

LongLiveUbuntu ★★★★★
(22.12.24 22:30:17 MSK)

Ответ на: комментарий от LongLiveUbuntu 22.12.24 22:30:17 MSK

Долбить-то не перестанут, а это рост логов, мусор и возможно DDOS

futurama ★★★★★
(22.12.24 22:34:14 MSK)

В секцию DEFAULT добавь параметр backend = systemd

Shprot ★★
(22.12.24 22:58:29 MSK)

Ответ на: комментарий от futurama 22.12.24 22:34:14 MSK

Ну разве что для этого.

LongLiveUbuntu ★★★★★
(22.12.24 23:58:26 MSK)

Ответ на: комментарий от futurama 22.12.24 22:34:14 MSK

Долбить-то не перестанут, а это рост логов, мусор и возможно DDOS

…а мой скрипт-то работает!!! Вон как злобных долбодятлов отшибает!!!

http://togusak.ddnss.de/block.txt

:-)))

demo13 ★
(23.12.24 12:51:01 MSK)

Ответ на: комментарий от LongLiveUbuntu 22.12.24 22:30:17 MSK

если не получиться настроить fail2ban, то просто порт закрою и буду только из локалки подключаться

Duck
(23.12.24 12:59:19 MSK) автор топика

Ответ на: комментарий от Shprot 22.12.24 22:58:29 MSK

это разве по дефолту не указано?

Duck
(23.12.24 13:04:37 MSK) автор топика

Ответ на: комментарий от Shprot 22.12.24 22:58:29 MSK

не помогло

Duck
(23.12.24 13:18:08 MSK) автор топика

Ответ на: комментарий от Duck 23.12.24 12:59:19 MSK

port knocking - замечательное решение проблем с сервисами которые должны быть доступны извне.

vel ★★★★★
(23.12.24 17:37:44 MSK)

Ответ на: комментарий от Duck 23.12.24 13:04:37 MSK

это разве по дефолту не указано?

По дефолту f2b думает, что ssh пишет логи в /var/log/auth.log, но напрмиер debian на сегодняшний день их (и не только) пишет /var/log/journal/

не помогло

А что за дистр? Судя по строчке из описания banaction = ufw у тебя убунта или ты конфиг взял на просторах интернета? Файерволл какой стоит? Например у меня стоит nftables, поэтому мне пришлось в дефолтный конфиг добавить следующие строчки:

banaction = nftables-multiport
banaction_allports = nftables-allports

Shprot ★★
(23.12.24 23:15:19 MSK)

при неудачных попытках sshd

с одного ip за указанный в конфиге период

targitaj ★★★★★
(24.12.24 01:15:24 MSK)

Ответ на: комментарий от Shprot 23.12.24 23:15:19 MSK

У меня Debian. По дефолту вроде стоял nftables, но я сверху поставил ufw, т.к. им проще пользоваться

Duck
(24.12.24 06:25:37 MSK) автор топика

Ответ на: комментарий от Duck 24.12.24 06:25:37 MSK

fail2ban не блокирует при неудачных попытках sshd (комментарий)

router ★★★★★
(24.12.24 17:40:02 MSK)

Ответ на: комментарий от futurama 22.12.24 22:25:26 MSK

что оно не работает)

Duck
(25.12.24 06:56:10 MSK) автор топика

Ответ на: комментарий от Duck 25.12.24 06:56:10 MSK

что оно не работает)

Оно – это fail2ban или sshd ?

futurama ★★★★★
(25.12.24 07:57:05 MSK)

Ответ на: комментарий от futurama 25.12.24 07:57:05 MSK

а нет, тогда я не правильно понял. sshd пишет логи не в /home/duck/fail2ban/sshd.log. т.е. fail2ban в logpath ожидает найти путь к логам sshd?

Duck
(25.12.24 17:41:32 MSK) автор топика

sshguard, но вообще да на кастомном порту и по ключу, боты не долбятся даже пару раз в год

anonymous_sama ★★★★★
(25.12.24 17:52:41 MSK)

Ответ на: комментарий от Duck 25.12.24 17:41:32 MSK

fail2ban в logpath ожидает найти путь к логам sshd?

ага, чтобы парсить

targitaj ★★★★★
(25.12.24 17:56:14 MSK)

Ответ на: комментарий от Duck 25.12.24 17:41:32 MSK

Информацию о том, кто ломится по ssh, нужно где-то брать

libastral все никак не допилят, остается лог sshd

router ★★★★★
(25.12.24 18:05:46 MSK)

Ответ на: комментарий от router 25.12.24 18:05:46 MSK

а что в failregex в /etc/fail2ban/filter.d/sshd.conf прописано должно быть? у меня failregex = Authentication failure.*linux-.*from=<IP>

Duck
(25.12.24 18:17:50 MSK) автор топика

Ответ на: комментарий от Shprot 23.12.24 23:15:19 MSK

у меня как раз debian. в /var/log/journal/ у меня system.journal user-1000.journal user-1001.journal. они содержат кучу ^@

Duck
(25.12.24 18:22:20 MSK) автор топика

Ответ на: комментарий от Duck 25.12.24 18:17:50 MSK

а что в failregex в /etc/fail2ban/filter.d/sshd.conf прописано должно быть?

regex, под который попадают строки в твоем логе (с неудачными попытками логина). обычно дефолотных regex’ов из дистрибутива fail2ban хватает

для отладки есть fail2ban-regex fail2ban не блокирует при неудачных попытках sshd (комментарий)

router ★★★★★
(25.12.24 18:34:30 MSK)

Ответ на: комментарий от Duck 25.12.24 18:17:50 MSK

у меня в 22.04 - 138 строчек

cat /etc/fail2ban/filter.d/sshd.conf | wc -l
136

targitaj ★★★★★
(25.12.24 18:37:11 MSK)

Ответ на: комментарий от Shprot 23.12.24 23:15:19 MSK

Судя по тикету в багтрекере fail2ban, в debian 12 нужно сначала поставить пакет python3-systemd (https://github.com/fail2ban/fail2ban/issues/3292)

З.Ы. я обычно вытягиваю логи в файлы через rsyslog. Привычка

router ★★★★★
(25.12.24 23:32:45 MSK)
Последнее исправление: router 25.12.24 23:33:06 MSK (всего исправлений: 1)

←	Как запрятать доступ в интернет?

Admin

Linux kernel 6.1+ memory used ~80%

→

Похожие темы