Статейка про Fail2ban
Модератор: f0s
- gonzo111
- лейтенант
- Сообщения: 648
- Зарегистрирован: 2007-11-15 16:32:33
- Откуда: China
- Контактная информация:
Статейка про Fail2ban
Шпаргалка по установке (были небольшие траблы) дабы не забыть как делал
http://www.lissyara.su/articles/freebsd ... /fail2ban/
навеяно из другой темы
спасибо mediamag идею
http://www.lissyara.su/articles/freebsd ... /fail2ban/
навеяно из другой темы
спасибо mediamag идею
Тяжело в учении легко в РАЮ!
беру зарплату гречкой и сахаром...
Наша комната - lissyara.su@conference.jabber.ru
беру зарплату гречкой и сахаром...
Наша комната - lissyara.su@conference.jabber.ru
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- Alex Keda
- стреляли...
- Сообщения: 35454
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: Статейка про Fail2ban
а дескрипшены писать так и не научился...
Убей их всех! Бог потом рассортирует...
- gonzo111
- лейтенант
- Сообщения: 648
- Зарегистрирован: 2007-11-15 16:32:33
- Откуда: China
- Контактная информация:
Re: Статейка про Fail2ban
тут их пока вообще нет
а в прошлых статьях были нормальные дискрипшенны, если тебе что-то не подходит, по твоему мнению, то я попросил самомому подправить как тебе нравится, ты проигнорил, неужели было сложно
или тут народ каждый месяц новую статью клепает
а в прошлых статьях были нормальные дискрипшенны, если тебе что-то не подходит, по твоему мнению, то я попросил самомому подправить как тебе нравится, ты проигнорил, неужели было сложно
или тут народ каждый месяц новую статью клепает
Тяжело в учении легко в РАЮ!
беру зарплату гречкой и сахаром...
Наша комната - lissyara.su@conference.jabber.ru
беру зарплату гречкой и сахаром...
Наша комната - lissyara.su@conference.jabber.ru
- Alex Keda
- стреляли...
- Сообщения: 35454
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: Статейка про Fail2ban
если ты начал дело - его надо закончить.
после написания двух-трёх страниц текста, так сложно набить осмысленно 150-200 символов?
у тебя же полтинник от силы, и тот в такой форме, что видно - через силу выдавил )
после написания двух-трёх страниц текста, так сложно набить осмысленно 150-200 символов?
у тебя же полтинник от силы, и тот в такой форме, что видно - через силу выдавил )
Убей их всех! Бог потом рассортирует...
- gonzo111
- лейтенант
- Сообщения: 648
- Зарегистрирован: 2007-11-15 16:32:33
- Откуда: China
- Контактная информация:
Re: Статейка про Fail2ban
я обновил статью жмите F5 в браузере
добавил апачь и сделал читабельней текст
добавил апачь и сделал читабельней текст
Тяжело в учении легко в РАЮ!
беру зарплату гречкой и сахаром...
Наша комната - lissyara.su@conference.jabber.ru
беру зарплату гречкой и сахаром...
Наша комната - lissyara.su@conference.jabber.ru
- gonzo111
- лейтенант
- Сообщения: 648
- Зарегистрирован: 2007-11-15 16:32:33
- Откуда: China
- Контактная информация:
Re: Статейка про Fail2ban
up
Тяжело в учении легко в РАЮ!
беру зарплату гречкой и сахаром...
Наша комната - lissyara.su@conference.jabber.ru
беру зарплату гречкой и сахаром...
Наша комната - lissyara.su@conference.jabber.ru
- thefree
- лейтенант
- Сообщения: 980
- Зарегистрирован: 2008-12-29 9:23:19
- Откуда: Весёлая Страна
Re: Статейка про Fail2ban
сам использую ее, но довольно тормозная штука ...
Не судите меня строго, Я не волшебник, а только учусь!
http://planetbsd.ru - RSS-агрегатор *BSD по Рунету
http://planetbsd.ru - RSS-агрегатор *BSD по Рунету
- gonzo111
- лейтенант
- Сообщения: 648
- Зарегистрирован: 2007-11-15 16:32:33
- Откуда: China
- Контактная информация:
Re: Статейка про Fail2ban
а есть альтернативы?
http://www.fail2ban.org/wiki/index.php/ ... ction_time
дык в мане об этом честно указано
можно банить не спеша задумываясь о смысле жизни
главное что проц не грузило
http://www.fail2ban.org/wiki/index.php/ ... ction_time
дык в мане об этом честно указано
можно банить не спеша задумываясь о смысле жизни
главное что проц не грузило
Тяжело в учении легко в РАЮ!
беру зарплату гречкой и сахаром...
Наша комната - lissyara.su@conference.jabber.ru
беру зарплату гречкой и сахаром...
Наша комната - lissyara.su@conference.jabber.ru
-
- мл. сержант
- Сообщения: 98
- Зарегистрирован: 2010-05-02 15:58:53
Re: Статейка про Fail2ban
Код: Выделить всё
2010-12-08 20:17:52,594 fail2ban.actions: WARNING [exim-ipfw] Ban 116.111.153.131
2010-12-08 20:18:05,956 fail2ban.actions: WARNING [exim-ipfw] Ban 123.18.185.202
2010-12-08 20:18:10,078 fail2ban.actions: WARNING [exim-ipfw] Ban 123.18.240.231
2010-12-08 20:18:33,737 fail2ban.actions: WARNING [exim-ipfw] Ban 94.189.237.243
2010-12-08 20:19:40,630 fail2ban.actions: WARNING [exim-ipfw] Ban 118.71.28.162
2010-12-08 20:19:49,895 fail2ban.actions: WARNING [exim-ipfw] 123.18.185.202 already banned
2010-12-08 20:21:21,480 fail2ban.actions: WARNING [exim-ipfw] Ban 118.68.110.201
2010-12-08 20:22:27,343 fail2ban.actions: WARNING [exim-ipfw] 123.18.185.202 already banned
2010-12-08 20:22:36,602 fail2ban.actions: WARNING [exim-ipfw] Ban 180.242.62.71
2010-12-08 20:25:21,246 fail2ban.actions: WARNING [exim-ipfw] Ban 187.24.149.37
а, ipfw показывает
Код: Выделить всё
[b]ipfw table 50 list[/b]
94.189.237.243/32 0
116.111.153.131/32 0
118.68.110.201/32 0
118.71.28.162/32 0
123.18.185.202/32 0
123.18.240.231/32 0
180.242.62.71/32 0
187.24.149.37/32 0
Код: Выделить всё
01400 92 17744 deny tcp from table(50) to me dst-port 25 via bce1
Родной язык не русский. За это мне трудно изложит красиво. Поймите ...!
-
- рядовой
- Сообщения: 12
- Зарегистрирован: 2010-10-13 22:28:59
Re: Статейка про Fail2ban
тоже заметил в логах
нормально ли это вроде как бан дан но всё ровно повторяется Ban 136.169.199.40 , 136.169.199.40 already banned
Код: Выделить всё
2012-02-04 12:55:30,236 fail2ban.actions: WARNING [apache_jail-ipfw] Ban 136.169.199.40
2012-02-04 12:57:59,489 fail2ban.actions: WARNING [apache_jail-ipfw] 136.169.199.40 already banned
2012-02-04 12:58:51,550 fail2ban.actions: WARNING [apache_jail-ipfw] 136.169.199.40 already banned
2012-02-04 12:59:23,596 fail2ban.actions: WARNING [apache_jail-ipfw] 136.169.199.40 already banned
2012-02-04 13:02:24,058 fail2ban.actions: WARNING [apache_jail-ipfw] 136.169.199.40 already banned
2012-02-04 20:55:30,534 fail2ban.actions: WARNING [apache_jail-ipfw] Unban 136.169.199.40
- lexxai
- проходил мимо
- Сообщения: 9
- Зарегистрирован: 2009-04-14 14:09:31
Re: Статейка про Fail2ban
Вот добавил в FreeBSD моментальную "рубилку", текущих сессий почтовика.
после команд добавления в таблицу фаервола адресса.
/usr/sbin/tcpdrop -la | /usr/bin/egrep ' (25|465|110|995) <ip>' |/bin/sh
после команд добавления в таблицу фаервола адресса.
/usr/sbin/tcpdrop -la | /usr/bin/egrep ' (25|465|110|995) <ip>' |/bin/sh
-
- проходил мимо
- Сообщения: 6
- Зарегистрирован: 2012-05-25 2:04:39
Re: Статейка про Fail2ban
Салют!
В логе наблюдаем следующее:
<<< [17:47:32] Warning: /rcon command exploit from: 15:178.65.58.100:3260
в failregex добавлял:
[/s/d]* Warning: /rcon command exploit from:[\d\s]*:<HOST>:[\d]*
и
[/s/d]* Warning: /rcon command exploit from:...:<HOST>:[\d]*
и
<<<\s\[.*\]\sWarning:\s/rcon [\w\s]*:[\d\s]*:<HOST>:[\d]*
вобщем пробовал разные варианты, но ответ почему то всегда один
http://gyazo.com/45ba775f50dcc7ffcead838a1bfb5860
В логе наблюдаем следующее:
<<< [17:47:32] Warning: /rcon command exploit from: 15:178.65.58.100:3260
в failregex добавлял:
[/s/d]* Warning: /rcon command exploit from:[\d\s]*:<HOST>:[\d]*
и
[/s/d]* Warning: /rcon command exploit from:...:<HOST>:[\d]*
и
<<<\s\[.*\]\sWarning:\s/rcon [\w\s]*:[\d\s]*:<HOST>:[\d]*
вобщем пробовал разные варианты, но ответ почему то всегда один
http://gyazo.com/45ba775f50dcc7ffcead838a1bfb5860
-
- проходил мимо
- Сообщения: 4
- Зарегистрирован: 2009-11-26 23:23:56
Re: Статейка про Fail2ban
А вот у мну вопрос например например забанил я хорошего человека(руки у него кривые, но без злого умысла), за неправильный набор имени и как теперь убрать его из бана в ручную может есть у кого предлдожение
на всяк случай Ubuntu 12.* и для FreeBSD
на всяк случай Ubuntu 12.* и для FreeBSD
- lexxai
- проходил мимо
- Сообщения: 9
- Зарегистрирован: 2009-04-14 14:09:31
Re: Статейка про Fail2ban
Так как результатом работы Fail2ban будет правило для занесения адреса в правило блокировки firewall, тоnezabor писал(а):А вот у мну вопрос например например забанил я хорошего человека(руки у него кривые, но без злого умысла), за неправильный набор имени и как теперь убрать его из бана в ручную может есть у кого предлдожение
на всяк случай Ubuntu 12.* и для FreeBSD
просто удалить из правил firewall данный адрес, и внести его в белый список. ignoreip = ...
Если freebsd - pf: /sbin/pfctl -t fail2ban -T delete <ip>/32
Если freebsd - ipfw без таблиц: ipfw delete `ipfw list | grep -i <ip> | awk '{print $1;}'`
Если freebsd - ipfw с таблицей: /sbin/ipfw table 99 delete <ip>
где 99 номер таблицы для Fail2ban
<ip> - нужный IP.
- andryu
- мл. сержант
- Сообщения: 86
- Зарегистрирован: 2008-07-31 15:55:40
- Откуда: Riga
Re: Статейка про Fail2ban
Подскажите пожалуйста, как к fail2ban подключить exim у которого лог файлы имеют вид mainlog-дата.log и каждый день меняются. Никак в интернете не могу найти подобного решения. Как я понял fail2ban начинает мониторить лог в момент запуска, и потом уже новый(другой) лог ему не подсунуть.
-
- проходил мимо
- Сообщения: 4
- Зарегистрирован: 2013-11-13 7:34:20
Re: Статейка про Fail2ban
Прошу помощи.
Вообщем появилась такая проблема после установки, regex отрабатывает по логам а записи в ipfw не добавляются
Вот конфиги:
jail.d/exim.conf
filter.d/exim.conf
action.d/exim-ipfw.conf
Проверяем наш фильтр по логу
ну и для полной картины правила в ipfw
что видно в логах fail2ban с включенным loglevel = DEBUG
сначала смотрии exim_reject
а в логах fail2ban
В итоге в таблицу 50 ничего не добавляется.
Есть подозрения что f2b не нравится время в логах, мол оно не соотносится с его временем( не знаю откуда его он берет), если что у меня utc+9 и в логах правильное местное время отображается.
Кстати не использую action bsd-ipfw по причине этого бага -> https://github.com/fail2ban/fail2ban/issues/713, который вроде пофиксили, но не ясно когда свежая версия будет в портах.
Вообщем появилась такая проблема после установки, regex отрабатывает по логам а записи в ipfw не добавляются
Вот конфиги:
jail.d/exim.conf
Код: Выделить всё
[exim]
2
3 #port = smtp,465,submission
4 #logpath = /var/log/exim/mainlog
5
6 enabled = true
7 filter = exim
8 action = exim-ipfw[table=50]
9 #sendmail[name=exim-spam-dnsbl, dest=admin@domenchik.ru sender=fail2ban@domenchik.ru]
10 logpath = /var/log/exim/domenchik.ru/exim_reject-20140625
11 maxretry = 2
12 bantime = 18000
Код: Выделить всё
[INCLUDES]
# Read common prefixes. If any customizations available -- read them from
# exim-common.local
before = exim-common.conf
[Definition]
failregex = authenticator failed for (\S+ )?\(\S+\) \[<HOST>\] (I=\[\S+\]:\d+): 535 Incorrect authentication data
ignoreregex =.
Код: Выделить всё
[Definition]
actionstart =
actionstop =
actioncheck =
actionban = /sbin/ipfw table <table> add <ip>
actionunban = /sbin/ipfw table <table> delete <ip>
[Init]
localhost = 127.0.0.1
Код: Выделить всё
fail2ban-regex /var/log/exim/domenchik.ru/exim_reject-20140625 /usr/local/etc/fail2ban/filter.d/exim.conf
Running tests
=============
Use failregex file : /usr/local/etc/fail2ban/filter.d/exim.conf
Use single line : /var/log/exim/domenchik.ru/exim_reject-20140625
Results
=======
Failregex: 0 total
Ignoreregex: 0 total
Date template hits:
Lines: 1 lines, 0 ignored, 0 matched, 1 missed
|- Missed line(s):
| /var/log/exim/domenchik.ru/exim_reject-20140625
`-
Код: Выделить всё
exim_ban_table="table(50)"
${ipfw} -f flush
${ipfw} add 10 deny tcp from ${exim_ban_table} to me 25
сначала смотрии exim_reject
Код: Выделить всё
2014-06-25 00:57:43 auth_login authenticator failed for (User) [50.57.186.49] I=[91.185.48.163]:25: 535 Incorrect authentication data (set_id=admin)
2014-06-25 00:57:43 auth_login authenticator failed for (User) [50.57.186.49] I=[91.185.48.163]:25: 535 Incorrect authentication data (set_id=admin)
Код: Выделить всё
2014-06-25 00:57:43,747 fail2ban.server.filterpoll[66537]: DEBUG /var/log/maillog has been modified
2014-06-25 00:57:43,747 fail2ban.server.datedetector[66537]: DEBUG Matched time template (?:DAY )?MON Day 24hour:Minute:Second(?:\.Microseconds)?(?: Year)?
2014-06-25 00:57:43,748 fail2ban.server.datedetector[66537]: DEBUG Got time 1403625463.000000 for "u'Jun 25 00:57:43'" using template (?:DAY )?MON Day 24hour:Minute:Second(?:\.Microseconds)?(?: Year)?
2014-06-25 00:57:43,748 fail2ban.server.filter[66537]: DEBUG Processing line with time:1403625463.0 and ip:50.57.186.49
Есть подозрения что f2b не нравится время в логах, мол оно не соотносится с его временем( не знаю откуда его он берет), если что у меня utc+9 и в логах правильное местное время отображается.
Код: Выделить всё
pkg info py27-fail2ban
py27-fail2ban-0.9.0_2
Name : py27-fail2ban
Version : 0.9.0_2
Installed on : Sun Jun 22 03:30:11 IRKT 2014
Origin : security/py-fail2ban
Architecture : freebsd:10:x86:64
Prefix : /usr/local
Categories : security python
Licenses : GPLv2
Maintainer : theis@gmx.at
WWW : http://www.fail2ban.org/wiki/index.php/Main_Page
Comment : Scans log files and bans IP that makes too many password failures
Flat size : 737KiB
Description :
Fail2ban scans log files like /var/log/pwdfail or /var/log/apache/error_log
and bans IP that makes too many password failures. It updates firewall rules
to reject the IP address.
uname -a
FreeBSD 10.0-RELEASE FreeBSD 10.0-RELEASE #0 r260789: Thu Jan 16 22:34:59 UTC 2014
Кстати не использую action bsd-ipfw по причине этого бага -> https://github.com/fail2ban/fail2ban/issues/713, который вроде пофиксили, но не ясно когда свежая версия будет в портах.
-
- лейтенант
- Сообщения: 831
- Зарегистрирован: 2007-06-01 19:27:51
Статейка про Fail2ban
таже петрушка - ip в фаер не добавляются.... аномалий не видно..
-
- лейтенант
- Сообщения: 895
- Зарегистрирован: 2007-07-08 23:53:20
- Откуда: SPb
- Контактная информация:
Статейка про Fail2ban
День добрый, вопрос. В статье упоминается вставка 2х таблиц в ipfw. В какое именно место ipfw втыкать данные таблицы? До NATа, после или ещё после каких строк?
Xeon X5460, RAM 8Gb, FreeBSD 13.1-RELEASE on amd64, Apache 2.4, PHP 7.3.30, MySQL 5.7, Exim 4.95_5, Dovecot 2.3.19.1
-
- лейтенант
- Сообщения: 895
- Зарегистрирован: 2007-07-08 23:53:20
- Откуда: SPb
- Контактная информация:
Статейка про Fail2ban
Скажите, а в /usr/local/etc/fail2ban/filter.d./apache-nohome.conf может присутствовать только одно правило?
А то мне хотелось бы резать ещё и такие случаи:
А то мне хотелось бы резать ещё и такие случаи:
Код: Выделить всё
[client 114.55.62.121:26957] AH01630: client denied by server configuration: /WWW/мойсайт/db_session.init.php
Xeon X5460, RAM 8Gb, FreeBSD 13.1-RELEASE on amd64, Apache 2.4, PHP 7.3.30, MySQL 5.7, Exim 4.95_5, Dovecot 2.3.19.1
-
- рядовой
- Сообщения: 14
- Зарегистрирован: 2013-01-26 12:14:57
- Откуда: СССР
- Контактная информация:
Статейка про Fail2ban
Подскажите, есть ли опыт (или примеры) связки fail2ban с mpd5 (L2TP)? К сожалению, на просторах найти ничего не смог, а сам в этом не силен...
-
- лейтенант
- Сообщения: 895
- Зарегистрирован: 2007-07-08 23:53:20
- Откуда: SPb
- Контактная информация:
Статейка про Fail2ban
Не подскажите, как настроить fail2ban 0.10.4_2 на отправку уведомлений на e-mail посредством Exim?
Xeon X5460, RAM 8Gb, FreeBSD 13.1-RELEASE on amd64, Apache 2.4, PHP 7.3.30, MySQL 5.7, Exim 4.95_5, Dovecot 2.3.19.1
-
- лейтенант
- Сообщения: 895
- Зарегистрирован: 2007-07-08 23:53:20
- Откуда: SPb
- Контактная информация:
Статейка про Fail2ban
Помогите с конфигом, пжлст
Если такой код - F2B бодро шлёт письма о бане/разбане и т.д.,но, в таблицы ничего не вносит и не банит
Если убрать последнюю строку, тогда F2B вносит всё в таблицы ipfw, но, естественно, никаких писем не шлёт.
Как бы совместить?
Код: Выделить всё
[exim]
enabled = true
port = smtp,465,submission
logpath = /var/log/exim/exim_main.log
action = bsd-ipfw[table=20]
%(action_mwl)s
Если убрать последнюю строку, тогда F2B вносит всё в таблицы ipfw, но, естественно, никаких писем не шлёт.
Как бы совместить?
Xeon X5460, RAM 8Gb, FreeBSD 13.1-RELEASE on amd64, Apache 2.4, PHP 7.3.30, MySQL 5.7, Exim 4.95_5, Dovecot 2.3.19.1