Статейка про Fail2ban

Обсуждаем сайт и форум.

Модератор: f0s

Аватара пользователя
gonzo111
лейтенант
Сообщения: 648
Зарегистрирован: 2007-11-15 16:32:33
Откуда: China
Контактная информация:

Статейка про Fail2ban

Непрочитанное сообщение gonzo111 » 2010-11-03 18:03:39

Шпаргалка по установке (были небольшие траблы) дабы не забыть как делал :smile:
http://www.lissyara.su/articles/freebsd ... /fail2ban/

навеяно из другой темы
спасибо mediamag идею :smile: :drinks: :drinks:
Тяжело в учении легко в РАЮ!
беру зарплату гречкой и сахаром...
Наша комната - lissyara.su@conference.jabber.ru

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 34924
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статейка про Fail2ban

Непрочитанное сообщение Alex Keda » 2010-11-03 19:09:09

а дескрипшены писать так и не научился...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
gonzo111
лейтенант
Сообщения: 648
Зарегистрирован: 2007-11-15 16:32:33
Откуда: China
Контактная информация:

Re: Статейка про Fail2ban

Непрочитанное сообщение gonzo111 » 2010-11-03 20:29:10

тут их пока вообще нет :smile:
а в прошлых статьях были нормальные дискрипшенны, если тебе что-то не подходит, по твоему мнению, то я попросил самомому подправить как тебе нравится, ты проигнорил, неужели было сложно :-o
или тут народ каждый месяц новую статью клепает :bn:
Тяжело в учении легко в РАЮ!
беру зарплату гречкой и сахаром...
Наша комната - lissyara.su@conference.jabber.ru

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 34924
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статейка про Fail2ban

Непрочитанное сообщение Alex Keda » 2010-11-03 20:33:41

если ты начал дело - его надо закончить.
после написания двух-трёх страниц текста, так сложно набить осмысленно 150-200 символов?
у тебя же полтинник от силы, и тот в такой форме, что видно - через силу выдавил =))
Убей их всех! Бог потом рассортирует...

Аватара пользователя
gonzo111
лейтенант
Сообщения: 648
Зарегистрирован: 2007-11-15 16:32:33
Откуда: China
Контактная информация:

Re: Статейка про Fail2ban

Непрочитанное сообщение gonzo111 » 2010-11-04 1:17:02

я обновил статью жмите F5 в браузере
добавил апачь :smile: и сделал читабельней текст
Тяжело в учении легко в РАЮ!
беру зарплату гречкой и сахаром...
Наша комната - lissyara.su@conference.jabber.ru

Аватара пользователя
gonzo111
лейтенант
Сообщения: 648
Зарегистрирован: 2007-11-15 16:32:33
Откуда: China
Контактная информация:

Re: Статейка про Fail2ban

Непрочитанное сообщение gonzo111 » 2010-11-04 15:50:54

up
Тяжело в учении легко в РАЮ!
беру зарплату гречкой и сахаром...
Наша комната - lissyara.su@conference.jabber.ru

Аватара пользователя
thefree
лейтенант
Сообщения: 980
Зарегистрирован: 2008-12-29 9:23:19
Откуда: Весёлая Страна

Re: Статейка про Fail2ban

Непрочитанное сообщение thefree » 2010-11-04 16:12:30

сам использую ее, но довольно тормозная штука ...
Не судите меня строго, Я не волшебник, а только учусь!
http://planetbsd.ru - RSS-агрегатор *BSD по Рунету

Аватара пользователя
gonzo111
лейтенант
Сообщения: 648
Зарегистрирован: 2007-11-15 16:32:33
Откуда: China
Контактная информация:

Re: Статейка про Fail2ban

Непрочитанное сообщение gonzo111 » 2010-11-05 12:33:25

а есть альтернативы?

http://www.fail2ban.org/wiki/index.php/ ... ction_time
дык в мане об этом честно указано
можно банить не спеша задумываясь о смысле жизни :smile:
главное что проц не грузило ;-)
Тяжело в учении легко в РАЮ!
беру зарплату гречкой и сахаром...
Наша комната - lissyara.su@conference.jabber.ru

eem-kz
мл. сержант
Сообщения: 98
Зарегистрирован: 2010-05-02 15:58:53

Re: Статейка про Fail2ban

Непрочитанное сообщение eem-kz » 2010-12-08 17:31:32

Код: Выделить всё

2010-12-08 20:17:52,594 fail2ban.actions: WARNING [exim-ipfw] Ban 116.111.153.131
2010-12-08 20:18:05,956 fail2ban.actions: WARNING [exim-ipfw] Ban 123.18.185.202
2010-12-08 20:18:10,078 fail2ban.actions: WARNING [exim-ipfw] Ban 123.18.240.231
2010-12-08 20:18:33,737 fail2ban.actions: WARNING [exim-ipfw] Ban 94.189.237.243
2010-12-08 20:19:40,630 fail2ban.actions: WARNING [exim-ipfw] Ban 118.71.28.162
2010-12-08 20:19:49,895 fail2ban.actions: WARNING [exim-ipfw] 123.18.185.202 already banned
2010-12-08 20:21:21,480 fail2ban.actions: WARNING [exim-ipfw] Ban 118.68.110.201
2010-12-08 20:22:27,343 fail2ban.actions: WARNING [exim-ipfw] 123.18.185.202 already banned
2010-12-08 20:22:36,602 fail2ban.actions: WARNING [exim-ipfw] Ban 180.242.62.71
2010-12-08 20:25:21,246 fail2ban.actions: WARNING [exim-ipfw] Ban 187.24.149.37



а, ipfw показывает

Код: Выделить всё

[b]ipfw table 50 list[/b]
94.189.237.243/32 0
116.111.153.131/32 0
118.68.110.201/32 0
118.71.28.162/32 0
123.18.185.202/32 0
123.18.240.231/32 0
180.242.62.71/32 0
187.24.149.37/32 0

ipfw show показывает

Код: Выделить всё

01400    92    17744 deny tcp from table(50) to me dst-port 25 via bce1


Почему пишет already banned?
Родной язык не русский. За это мне трудно изложит красиво. Поймите ...!

Vizunchikk
рядовой
Сообщения: 12
Зарегистрирован: 2010-10-13 22:28:59

Re: Статейка про Fail2ban

Непрочитанное сообщение Vizunchikk » 2012-02-05 1:04:09

тоже заметил в логах

Код: Выделить всё

2012-02-04 12:55:30,236 fail2ban.actions: WARNING [apache_jail-ipfw] Ban 136.169.199.40
2012-02-04 12:57:59,489 fail2ban.actions: WARNING [apache_jail-ipfw] 136.169.199.40 already banned
2012-02-04 12:58:51,550 fail2ban.actions: WARNING [apache_jail-ipfw] 136.169.199.40 already banned
2012-02-04 12:59:23,596 fail2ban.actions: WARNING [apache_jail-ipfw] 136.169.199.40 already banned
2012-02-04 13:02:24,058 fail2ban.actions: WARNING [apache_jail-ipfw] 136.169.199.40 already banned
2012-02-04 20:55:30,534 fail2ban.actions: WARNING [apache_jail-ipfw] Unban 136.169.199.40


нормально ли это вроде как бан дан но всё ровно повторяется Ban 136.169.199.40 , 136.169.199.40 already banned

Аватара пользователя
lexxai
проходил мимо
Сообщения: 9
Зарегистрирован: 2009-04-14 14:09:31

Re: Статейка про Fail2ban

Непрочитанное сообщение lexxai » 2012-10-11 1:13:57

Вот добавил в FreeBSD моментальную "рубилку", текущих сессий почтовика.
после команд добавления в таблицу фаервола адресса.

/usr/sbin/tcpdrop -la | /usr/bin/egrep ' (25|465|110|995) <ip>' |/bin/sh

zubrizavr
проходил мимо
Сообщения: 6
Зарегистрирован: 2012-05-25 2:04:39

Re: Статейка про Fail2ban

Непрочитанное сообщение zubrizavr » 2012-11-07 12:29:05

Салют!
В логе наблюдаем следующее:
<<< [17:47:32] Warning: /rcon command exploit from: 15:178.65.58.100:3260
в failregex добавлял:
[/s/d]* Warning: /rcon command exploit from:[\d\s]*:<HOST>:[\d]*
и
[/s/d]* Warning: /rcon command exploit from:...:<HOST>:[\d]*
и
<<<\s\[.*\]\sWarning:\s/rcon [\w\s]*:[\d\s]*:<HOST>:[\d]*

вобщем пробовал разные варианты, но ответ почему то всегда один
http://gyazo.com/45ba775f50dcc7ffcead838a1bfb5860

nezabor
проходил мимо
Сообщения: 4
Зарегистрирован: 2009-11-26 23:23:56

Re: Статейка про Fail2ban

Непрочитанное сообщение nezabor » 2012-12-09 8:16:43

А вот у мну вопрос например например забанил я хорошего человека(руки у него кривые, но без злого умысла), за неправильный набор имени и как теперь убрать его из бана в ручную может есть у кого предлдожение

на всяк случай Ubuntu 12.* и для FreeBSD

Аватара пользователя
lexxai
проходил мимо
Сообщения: 9
Зарегистрирован: 2009-04-14 14:09:31

Re: Статейка про Fail2ban

Непрочитанное сообщение lexxai » 2012-12-11 13:36:46

nezabor писал(а):А вот у мну вопрос например например забанил я хорошего человека(руки у него кривые, но без злого умысла), за неправильный набор имени и как теперь убрать его из бана в ручную может есть у кого предлдожение
на всяк случай Ubuntu 12.* и для FreeBSD


Так как результатом работы Fail2ban будет правило для занесения адреса в правило блокировки firewall, то
просто удалить из правил firewall данный адрес, и внести его в белый список. ignoreip = ...
Если freebsd - pf: /sbin/pfctl -t fail2ban -T delete <ip>/32
Если freebsd - ipfw без таблиц: ipfw delete `ipfw list | grep -i <ip> | awk '{print $1;}'`
Если freebsd - ipfw с таблицей: /sbin/ipfw table 99 delete <ip>
где 99 номер таблицы для Fail2ban
<ip> - нужный IP.

Аватара пользователя
andryu
мл. сержант
Сообщения: 83
Зарегистрирован: 2008-07-31 15:55:40
Откуда: Riga

Re: Статейка про Fail2ban

Непрочитанное сообщение andryu » 2012-12-26 22:11:46

Подскажите пожалуйста, как к fail2ban подключить exim у которого лог файлы имеют вид mainlog-дата.log и каждый день меняются. Никак в интернете не могу найти подобного решения. Как я понял fail2ban начинает мониторить лог в момент запуска, и потом уже новый(другой) лог ему не подсунуть.

goodsmileduck
проходил мимо
Сообщения: 4
Зарегистрирован: 2013-11-13 7:34:20

Re: Статейка про Fail2ban

Непрочитанное сообщение goodsmileduck » 2014-06-24 20:57:31

Прошу помощи.
Вообщем появилась такая проблема после установки, regex отрабатывает по логам а записи в ipfw не добавляются
Вот конфиги:

jail.d/exim.conf

Код: Выделить всё

[exim]
      2
      3 #port   = smtp,465,submission
      4 #logpath = /var/log/exim/mainlog
      5
      6 enabled = true
      7 filter = exim
      8 action = exim-ipfw[table=50]
      9 #sendmail[name=exim-spam-dnsbl, dest=admin@domenchik.ru sender=fail2ban@domenchik.ru]
     10 logpath = /var/log/exim/domenchik.ru/exim_reject-20140625
     11 maxretry = 2
     12 bantime = 18000

filter.d/exim.conf

Код: Выделить всё

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# exim-common.local
before = exim-common.conf

[Definition]

failregex =  authenticator failed for (\S+ )?\(\S+\) \[<HOST>\] (I=\[\S+\]:\d+): 535 Incorrect authentication data


ignoreregex =.

action.d/exim-ipfw.conf

Код: Выделить всё

[Definition]
actionstart =
actionstop =
actioncheck =
actionban = /sbin/ipfw table <table> add <ip>
actionunban = /sbin/ipfw table <table> delete <ip>
[Init]
localhost = 127.0.0.1


Проверяем наш фильтр по логу

Код: Выделить всё

  fail2ban-regex /var/log/exim/domenchik.ru/exim_reject-20140625 /usr/local/etc/fail2ban/filter.d/exim.conf

Running tests
=============

Use   failregex file : /usr/local/etc/fail2ban/filter.d/exim.conf
Use      single line : /var/log/exim/domenchik.ru/exim_reject-20140625


Results
=======

Failregex: 0 total

Ignoreregex: 0 total

Date template hits:

Lines: 1 lines, 0 ignored, 0 matched, 1 missed
|- Missed line(s):
|  /var/log/exim/domenchik.ru/exim_reject-20140625
`-



ну и для полной картины правила в ipfw

Код: Выделить всё

exim_ban_table="table(50)"
${ipfw} -f flush
${ipfw} add 10 deny tcp from ${exim_ban_table} to me 25


что видно в логах fail2ban с включенным loglevel = DEBUG
сначала смотрии exim_reject

Код: Выделить всё

2014-06-25 00:57:43  auth_login authenticator failed for (User) [50.57.186.49] I=[91.185.48.163]:25: 535 Incorrect authentication data (set_id=admin)
2014-06-25 00:57:43  auth_login authenticator failed for (User) [50.57.186.49] I=[91.185.48.163]:25: 535 Incorrect authentication data (set_id=admin)

а в логах fail2ban

Код: Выделить всё

2014-06-25 00:57:43,747 fail2ban.server.filterpoll[66537]: DEBUG   /var/log/maillog has been modified
2014-06-25 00:57:43,747 fail2ban.server.datedetector[66537]: DEBUG   Matched time template (?:DAY )?MON Day 24hour:Minute:Second(?:\.Microseconds)?(?: Year)?
2014-06-25 00:57:43,748 fail2ban.server.datedetector[66537]: DEBUG   Got time 1403625463.000000 for "u'Jun 25 00:57:43'" using template (?:DAY )?MON Day 24hour:Minute:Second(?:\.Microseconds)?(?: Year)?
2014-06-25 00:57:43,748 fail2ban.server.filter[66537]: DEBUG   Processing line with time:1403625463.0 and ip:50.57.186.49

В итоге в таблицу 50 ничего не добавляется.
Есть подозрения что f2b не нравится время в логах, мол оно не соотносится с его временем( не знаю откуда его он берет), если что у меня utc+9 и в логах правильное местное время отображается.


Код: Выделить всё

pkg info py27-fail2ban
py27-fail2ban-0.9.0_2
Name           : py27-fail2ban
Version        : 0.9.0_2
Installed on   : Sun Jun 22 03:30:11 IRKT 2014
Origin         : security/py-fail2ban
Architecture   : freebsd:10:x86:64
Prefix         : /usr/local
Categories     : security python
Licenses       : GPLv2
Maintainer     : theis@gmx.at
WWW            : http://www.fail2ban.org/wiki/index.php/Main_Page
Comment        : Scans log files and bans IP that makes too many password failures
Flat size      : 737KiB
Description    :
Fail2ban scans log files like /var/log/pwdfail or /var/log/apache/error_log
and bans IP that makes too many password failures. It updates firewall rules
to reject the IP address.
uname -a
FreeBSD 10.0-RELEASE FreeBSD 10.0-RELEASE #0 r260789: Thu Jan 16 22:34:59 UTC 2014




Кстати не использую action bsd-ipfw по причине этого бага -> https://github.com/fail2ban/fail2ban/issues/713, который вроде пофиксили, но не ясно когда свежая версия будет в портах.

risk94
лейтенант
Сообщения: 831
Зарегистрирован: 2007-06-01 19:27:51

Статейка про Fail2ban

Непрочитанное сообщение risk94 » 2016-09-28 10:40:55

таже петрушка - ip в фаер не добавляются.... аномалий не видно..


Вернуться в «Про сайт»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 5 гостей