那些遇到过的问题

当您通过fail2ban被屏蔽时,这是客户端终端中的样子吗?

ber*_*436 1 security iptables fail2ban

我是新的服务器管理员。我只是在 ubuntu 12.04 VPS 上设置了 fail2ban。我用过这个教程。然后我尝试从朋友的机器上通过 ssh 登录系统。显示“操作超时”。这似乎意味着fail2ban 正在工作——但我想再次检查以确认。当fail2ban阻止您的IP时,这是客户端的样子吗?您的 SSH 登录超时,因为 fail2ban/iptables 不允许它在服务器端启动?

$ ssh -p# user@IP
user@IP's password: 
Permission denied, please try again.
user@IP's password: 
Permission denied, please try again.
user@IP's password: 
^C
$ ssh -p# user@IP
ssh: connect to host IP port #: Operation timed out
$ ssh -p# user@IP
ssh: connect to host IP port #: Operation timed out
Run Code Online (Sandbox Code Playgroud)

slm*_*slm 5

如果您查看本教程,它会指出您将看到与您所看到的一致的超时,标题为:Fail2ban - Rackspace 知识中心

摘录

让我们测试 fail2ban 以确保它按照我们希望的方式运行。我们将通过几次 ssh 登录失败来做到这一点。

我们将使用两台机器:我们要保护的服务器和另一台充当攻击者的机器。

  • 攻击机IP:123.45.67.89
  • 服务器的IP:98.76.54.32

要运行测试,只需进入攻击机器并尝试 ssh 到您的服务器五次。例如:

   $ ssh fakeuser@98.76.54.32
Run Code Online (Sandbox Code Playgroud)

在第六次尝试(假设您将 ssh 的 maxretry 设置为 5)时,如果您再次尝试 ssh,您的连接应该会超时。

注意:最后一句话就是你所看到的!

您也可以设置fail2ban发送类似于此的电子邮件:

如果您已将 fail2ban 设置为向您发送电子邮件,请检查您是否收到这样的消息:

    From fail2ban@ITSecurity  Thu Jul 16 04:59:24 2009
    Subject: [Fail2Ban] ssh: banned 123.45.67.89
    Hi,

    The ip 123.45.67.89 has just been banned by Fail2Ban after 5 attempts 
    against ssh.

    Here are more information about 123.45.67.89:

    {whois info}

    Lines containing IP:123.45.67.89 in /var/log/auth.log

    Jul 16 04:59:16 example.com sshd[10390]: Failed password for root from 123.45.67.89 port 46023 ssh2
    Jul 16 04:59:18 example.com sshd[10390]: Failed password for root from 123.45.67.89 port 46023 ssh2
    Jul 16 04:59:20 example.com sshd[10390]: Failed password for root from 123.45.67.89 port 46023 ssh2
    Jul 16 04:59:21 example.comsshd[10394]: reverse mapping checking getaddrinfo for 123.45.67.89.example.com [123.45.67.89] failed - POSSIBLE BREAK-IN ATTEMPT!
    Jul 16 04:59:22 example.com sshd[10394]: Failed password for root from 123.45.67.89 port 46024 ssh2

    Regards,

    Fail2Ban
Run Code Online (Sandbox Code Playgroud)

尽管有效,但最好的迹象可能fail2ban是存在一条iptables阻止攻击 IP 地址的新规则。

例如:

iptables -L 

Chain fail2ban-ssh (1 references)
target     prot opt source               destination
DROP       all  --  208-78-96-200.realinfosec.com  anywhere
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

217 次

最近记录:

11 年,6 月 前
相关归档
为 FTP 设置可写的 chroot 目录有什么危险? 8
为什么 tcpdump 可以看到 TAP 接口上的传入数据包,而 iptables 看不到? 7
如何在 systemd 日志之上实现日志监视功能? 7
iptables,如何从环回重定向端口? 6
使用iptables阻止端口后如何列出所有打开的端口? 6
使用 GPG 自动检索密钥的安全性 6
Debian 存储库的安全性 5
iptables 规则只允许一个端口并阻止其他端口 4
从 crontab 脚本调用环境变量是否安全? 3
当更新内核时,他们会关闭错误吗? -3
难疑归档
find 的“-exec rm {} \;” 与“-删除” 358
如何在文件末尾添加换行符? 237
是什么让 grep 将文件视为二进制文件? 225
如何移动文件并查看进度(例如使用进度条)? 155
如何通过 Debian Squeeze 上的 shell 与 Unix 域套接字通信? 127
如何获取软符号链接的原始文件的完整路径? 123
根据大小递归排序文件 104
如何创建类似 /dev/null 的“黑洞”目录? 98
如何在 Mac 上持续控制最大系统资源消耗? 86
如何获取字符串的第一个单词? 84