那些遇到过的问题

为什么fail2ban 不能阻止失败?

Rih*_*rds 2 debian brute-force-attacks fail2ban debian-lenny

下面是fail2ban日志的输出。什么都没有显示,但在 auth.log 中,我看到 root 用户登录失败了数百次(有人是个坏蛋蛮力强行者)。

2011-07-06 01:48:16,249 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.3
2011-07-06 01:48:16,250 fail2ban.jail   : INFO   Creating new jail 'ssh'
2011-07-06 01:48:16,250 fail2ban.jail   : INFO   Jail 'ssh' uses poller
2011-07-06 01:48:16,251 fail2ban.filter : INFO   Added logfile = /var/log/auth.log
2011-07-06 01:48:16,252 fail2ban.filter : INFO   Set maxRetry = 3
2011-07-06 01:48:16,253 fail2ban.filter : INFO   Set findtime = 600
2011-07-06 01:48:16,253 fail2ban.actions: INFO   Set banTime = 600
2011-07-06 01:48:16,329 fail2ban.jail   : INFO   Jail 'ssh' started
Run Code Online (Sandbox Code Playgroud)

为什么不阻止他们?我没有更改配置中的任何内容(除了 maxRetry) - 我只是将它安装在我的 Linux Debian Lenny 上并且它启动了,但它并没有阻止任何人。:/
我能做些什么来解决这个问题?

我可以分享一些攻击:

Jul  6 01:02:24 tornado sshd[19768]: Failed password for root from 200.63.212.41 port 43457 ssh2
Jul  6 01:02:26 tornado sshd[19771]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=www.gamavision.com  user=root
Jul  6 01:02:27 tornado sshd[19771]: Failed password for root from 200.63.212.41 port 43565 ssh2
Jul  6 01:02:29 tornado sshd[19773]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=www.gamavision.com  user=root
Jul  6 01:02:31 tornado sshd[19773]: Failed password for root from 200.63.212.41 port 43662 ssh2
Jul  6 01:02:32 tornado sshd[19775]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=www.gamavision.com  user=root
Run Code Online (Sandbox Code Playgroud)

顺便说一句,它是否改变了我所看到的服务器时间为 1 小时的情况?;D

编辑:

Status for the jail: ssh
|- filter
|  |- File list:        /var/log/auth.log
|  |- Currently failed: 0
|  `- Total failed:     0
`- action
   |- Currently banned: 0
   |  `- IP list:
   `- Total banned:     0
Run Code Online (Sandbox Code Playgroud)

在 auth.log 中安装 fail2ban 之前,我注意到以下几行:

reverse mapping checking getaddrinfo for server1.intensevps.com [94.75.242.39] failed - POSSIBLE BREAK-IN ATTEMPT!
Run Code Online (Sandbox Code Playgroud)

会不会是fail2ban 与其他东西相冲突?我只是不知道那是什么东西,它检测到了可能的破坏。现在一旦安装了fail2ban,它就不会检测到任何东西。

小智 5

我遇到了完全相同的问题。实际上,时间不同步。

dpkg-reconfigure tzdata
cp /usr/share/zoneinfo/Europe/Paris /etc/localtime
vim /etc/rsyslog.conf
#see all messages
$RepeatedMsgReduction off
service rsyslog restart
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

7370 次

最近记录:

13 年,11 月 前
相关归档
sshd 的自定义错误消息 8
自动安装 Debian Backports 内核 8
如何在 Linux 中完全禁用 ipv6 支持? 7
向 Debian 服务器添加第二个 IP 6
多架构及其二进制文件 5
ntpdate 不更新 XenServer VM 中的系统时间 4
具有不同 Linux 发行版的本地和远程服务器? 4
后缀配置错误:“(域)的邮件循环回到我自己” 4
如何告诉 apt-get 永远忽略未满足的依赖项? 3
增加 Debian 服务器上的 Pure-FTPd 超时 3
难疑归档
mysqldump 抛出:信息模式中的未知表“COLUMN_STATISTICS”(1109) 357
通配符 CNAME DNS 记录是否有效? 94
什么是反向 DNS 命令行实用程序? 90
在 systemd 中,After= 和 Requires= 有什么区别? 90
Splunk 的替代品? 76
主机名和完全限定域名之间有什么区别? 65
如何决定在哪里购买通配符 SSL 证书? 65
如何每天在特定时间运行 cron 作业? 62
我怎么知道我是否在 linux“屏幕”中运行? 60
Docker 使用 Windows 容器而不是 Linux 容器的优缺点? 54