Статейка про Fail2ban

Обсуждаем сайт и форум.

Модератор: f0s

Аватара пользователя
gonzo111
лейтенант
Сообщения: 648
Зарегистрирован: 2007-11-15 16:32:33
Откуда: China
Контактная информация:

Статейка про Fail2ban

Непрочитанное сообщение gonzo111 » 2010-11-03 18:03:39

Шпаргалка по установке (были небольшие траблы) дабы не забыть как делал :smile:
http://www.lissyara.su/articles/freebsd ... /fail2ban/

навеяно из другой темы
спасибо mediamag идею :smile: :drinks: :drinks:
Тяжело в учении легко в РАЮ!
беру зарплату гречкой и сахаром...
Наша комната - lissyara.su@conference.jabber.ru

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статейка про Fail2ban

Непрочитанное сообщение Alex Keda » 2010-11-03 19:09:09

а дескрипшены писать так и не научился...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
gonzo111
лейтенант
Сообщения: 648
Зарегистрирован: 2007-11-15 16:32:33
Откуда: China
Контактная информация:

Re: Статейка про Fail2ban

Непрочитанное сообщение gonzo111 » 2010-11-03 20:29:10

тут их пока вообще нет :smile:
а в прошлых статьях были нормальные дискрипшенны, если тебе что-то не подходит, по твоему мнению, то я попросил самомому подправить как тебе нравится, ты проигнорил, неужели было сложно :-o
или тут народ каждый месяц новую статью клепает :bn:
Тяжело в учении легко в РАЮ!
беру зарплату гречкой и сахаром...
Наша комната - lissyara.su@conference.jabber.ru

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статейка про Fail2ban

Непрочитанное сообщение Alex Keda » 2010-11-03 20:33:41

если ты начал дело - его надо закончить.
после написания двух-трёх страниц текста, так сложно набить осмысленно 150-200 символов?
у тебя же полтинник от силы, и тот в такой форме, что видно - через силу выдавил =))
Убей их всех! Бог потом рассортирует...

Аватара пользователя
gonzo111
лейтенант
Сообщения: 648
Зарегистрирован: 2007-11-15 16:32:33
Откуда: China
Контактная информация:

Re: Статейка про Fail2ban

Непрочитанное сообщение gonzo111 » 2010-11-04 1:17:02

я обновил статью жмите F5 в браузере
добавил апачь :smile: и сделал читабельней текст
Тяжело в учении легко в РАЮ!
беру зарплату гречкой и сахаром...
Наша комната - lissyara.su@conference.jabber.ru

Аватара пользователя
gonzo111
лейтенант
Сообщения: 648
Зарегистрирован: 2007-11-15 16:32:33
Откуда: China
Контактная информация:

Re: Статейка про Fail2ban

Непрочитанное сообщение gonzo111 » 2010-11-04 15:50:54

up
Тяжело в учении легко в РАЮ!
беру зарплату гречкой и сахаром...
Наша комната - lissyara.su@conference.jabber.ru

Аватара пользователя
thefree
лейтенант
Сообщения: 980
Зарегистрирован: 2008-12-29 9:23:19
Откуда: Весёлая Страна

Re: Статейка про Fail2ban

Непрочитанное сообщение thefree » 2010-11-04 16:12:30

сам использую ее, но довольно тормозная штука ...
Не судите меня строго, Я не волшебник, а только учусь!
http://planetbsd.ru - RSS-агрегатор *BSD по Рунету

Аватара пользователя
gonzo111
лейтенант
Сообщения: 648
Зарегистрирован: 2007-11-15 16:32:33
Откуда: China
Контактная информация:

Re: Статейка про Fail2ban

Непрочитанное сообщение gonzo111 » 2010-11-05 12:33:25

а есть альтернативы?

http://www.fail2ban.org/wiki/index.php/ ... ction_time
дык в мане об этом честно указано
можно банить не спеша задумываясь о смысле жизни :smile:
главное что проц не грузило ;-)
Тяжело в учении легко в РАЮ!
беру зарплату гречкой и сахаром...
Наша комната - lissyara.su@conference.jabber.ru

eem-kz
мл. сержант
Сообщения: 98
Зарегистрирован: 2010-05-02 15:58:53

Re: Статейка про Fail2ban

Непрочитанное сообщение eem-kz » 2010-12-08 17:31:32

Код: Выделить всё

2010-12-08 20:17:52,594 fail2ban.actions: WARNING [exim-ipfw] Ban 116.111.153.131
2010-12-08 20:18:05,956 fail2ban.actions: WARNING [exim-ipfw] Ban 123.18.185.202
2010-12-08 20:18:10,078 fail2ban.actions: WARNING [exim-ipfw] Ban 123.18.240.231
2010-12-08 20:18:33,737 fail2ban.actions: WARNING [exim-ipfw] Ban 94.189.237.243
2010-12-08 20:19:40,630 fail2ban.actions: WARNING [exim-ipfw] Ban 118.71.28.162
2010-12-08 20:19:49,895 fail2ban.actions: WARNING [exim-ipfw] 123.18.185.202 already banned
2010-12-08 20:21:21,480 fail2ban.actions: WARNING [exim-ipfw] Ban 118.68.110.201
2010-12-08 20:22:27,343 fail2ban.actions: WARNING [exim-ipfw] 123.18.185.202 already banned
2010-12-08 20:22:36,602 fail2ban.actions: WARNING [exim-ipfw] Ban 180.242.62.71
2010-12-08 20:25:21,246 fail2ban.actions: WARNING [exim-ipfw] Ban 187.24.149.37

а, ipfw показывает

Код: Выделить всё

[b]ipfw table 50 list[/b]
94.189.237.243/32 0
116.111.153.131/32 0
118.68.110.201/32 0
118.71.28.162/32 0
123.18.185.202/32 0
123.18.240.231/32 0
180.242.62.71/32 0
187.24.149.37/32 0
ipfw show показывает

Код: Выделить всё

01400    92    17744 deny tcp from table(50) to me dst-port 25 via bce1
Почему пишет already banned?
Родной язык не русский. За это мне трудно изложит красиво. Поймите ...!

Vizunchikk
рядовой
Сообщения: 12
Зарегистрирован: 2010-10-13 22:28:59

Re: Статейка про Fail2ban

Непрочитанное сообщение Vizunchikk » 2012-02-05 1:04:09

тоже заметил в логах

Код: Выделить всё

2012-02-04 12:55:30,236 fail2ban.actions: WARNING [apache_jail-ipfw] Ban 136.169.199.40
2012-02-04 12:57:59,489 fail2ban.actions: WARNING [apache_jail-ipfw] 136.169.199.40 already banned
2012-02-04 12:58:51,550 fail2ban.actions: WARNING [apache_jail-ipfw] 136.169.199.40 already banned
2012-02-04 12:59:23,596 fail2ban.actions: WARNING [apache_jail-ipfw] 136.169.199.40 already banned
2012-02-04 13:02:24,058 fail2ban.actions: WARNING [apache_jail-ipfw] 136.169.199.40 already banned
2012-02-04 20:55:30,534 fail2ban.actions: WARNING [apache_jail-ipfw] Unban 136.169.199.40
нормально ли это вроде как бан дан но всё ровно повторяется Ban 136.169.199.40 , 136.169.199.40 already banned

Аватара пользователя
lexxai
проходил мимо
Сообщения: 9
Зарегистрирован: 2009-04-14 14:09:31

Re: Статейка про Fail2ban

Непрочитанное сообщение lexxai » 2012-10-11 1:13:57

Вот добавил в FreeBSD моментальную "рубилку", текущих сессий почтовика.
после команд добавления в таблицу фаервола адресса.

/usr/sbin/tcpdrop -la | /usr/bin/egrep ' (25|465|110|995) <ip>' |/bin/sh

zubrizavr
проходил мимо
Сообщения: 6
Зарегистрирован: 2012-05-25 2:04:39

Re: Статейка про Fail2ban

Непрочитанное сообщение zubrizavr » 2012-11-07 12:29:05

Салют!
В логе наблюдаем следующее:
<<< [17:47:32] Warning: /rcon command exploit from: 15:178.65.58.100:3260
в failregex добавлял:
[/s/d]* Warning: /rcon command exploit from:[\d\s]*:<HOST>:[\d]*
и
[/s/d]* Warning: /rcon command exploit from:...:<HOST>:[\d]*
и
<<<\s\[.*\]\sWarning:\s/rcon [\w\s]*:[\d\s]*:<HOST>:[\d]*

вобщем пробовал разные варианты, но ответ почему то всегда один
http://gyazo.com/45ba775f50dcc7ffcead838a1bfb5860

nezabor
проходил мимо
Сообщения: 4
Зарегистрирован: 2009-11-26 23:23:56

Re: Статейка про Fail2ban

Непрочитанное сообщение nezabor » 2012-12-09 8:16:43

А вот у мну вопрос например например забанил я хорошего человека(руки у него кривые, но без злого умысла), за неправильный набор имени и как теперь убрать его из бана в ручную может есть у кого предлдожение

на всяк случай Ubuntu 12.* и для FreeBSD

Аватара пользователя
lexxai
проходил мимо
Сообщения: 9
Зарегистрирован: 2009-04-14 14:09:31

Re: Статейка про Fail2ban

Непрочитанное сообщение lexxai » 2012-12-11 13:36:46

nezabor писал(а):А вот у мну вопрос например например забанил я хорошего человека(руки у него кривые, но без злого умысла), за неправильный набор имени и как теперь убрать его из бана в ручную может есть у кого предлдожение
на всяк случай Ubuntu 12.* и для FreeBSD
Так как результатом работы Fail2ban будет правило для занесения адреса в правило блокировки firewall, то
просто удалить из правил firewall данный адрес, и внести его в белый список. ignoreip = ...
Если freebsd - pf: /sbin/pfctl -t fail2ban -T delete <ip>/32
Если freebsd - ipfw без таблиц: ipfw delete `ipfw list | grep -i <ip> | awk '{print $1;}'`
Если freebsd - ipfw с таблицей: /sbin/ipfw table 99 delete <ip>
где 99 номер таблицы для Fail2ban
<ip> - нужный IP.

Аватара пользователя
andryu
мл. сержант
Сообщения: 86
Зарегистрирован: 2008-07-31 15:55:40
Откуда: Riga

Re: Статейка про Fail2ban

Непрочитанное сообщение andryu » 2012-12-26 22:11:46

Подскажите пожалуйста, как к fail2ban подключить exim у которого лог файлы имеют вид mainlog-дата.log и каждый день меняются. Никак в интернете не могу найти подобного решения. Как я понял fail2ban начинает мониторить лог в момент запуска, и потом уже новый(другой) лог ему не подсунуть.

goodsmileduck
проходил мимо
Сообщения: 4
Зарегистрирован: 2013-11-13 7:34:20

Re: Статейка про Fail2ban

Непрочитанное сообщение goodsmileduck » 2014-06-24 20:57:31

Прошу помощи.
Вообщем появилась такая проблема после установки, regex отрабатывает по логам а записи в ipfw не добавляются
Вот конфиги:

jail.d/exim.conf

Код: Выделить всё

[exim]
      2
      3 #port   = smtp,465,submission
      4 #logpath = /var/log/exim/mainlog
      5
      6 enabled = true
      7 filter = exim
      8 action = exim-ipfw[table=50]
      9 #sendmail[name=exim-spam-dnsbl, dest=admin@domenchik.ru sender=fail2ban@domenchik.ru]
     10 logpath = /var/log/exim/domenchik.ru/exim_reject-20140625
     11 maxretry = 2
     12 bantime = 18000
filter.d/exim.conf

Код: Выделить всё

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# exim-common.local
before = exim-common.conf

[Definition]

failregex =  authenticator failed for (\S+ )?\(\S+\) \[<HOST>\] (I=\[\S+\]:\d+): 535 Incorrect authentication data


ignoreregex =.
action.d/exim-ipfw.conf

Код: Выделить всё

[Definition]
actionstart =
actionstop =
actioncheck =
actionban = /sbin/ipfw table <table> add <ip>
actionunban = /sbin/ipfw table <table> delete <ip>
[Init]
localhost = 127.0.0.1
Проверяем наш фильтр по логу

Код: Выделить всё

  fail2ban-regex /var/log/exim/domenchik.ru/exim_reject-20140625 /usr/local/etc/fail2ban/filter.d/exim.conf

Running tests
=============

Use   failregex file : /usr/local/etc/fail2ban/filter.d/exim.conf
Use      single line : /var/log/exim/domenchik.ru/exim_reject-20140625


Results
=======

Failregex: 0 total

Ignoreregex: 0 total

Date template hits:

Lines: 1 lines, 0 ignored, 0 matched, 1 missed
|- Missed line(s):
|  /var/log/exim/domenchik.ru/exim_reject-20140625
`-

ну и для полной картины правила в ipfw

Код: Выделить всё

exim_ban_table="table(50)"
${ipfw} -f flush
${ipfw} add 10 deny tcp from ${exim_ban_table} to me 25
что видно в логах fail2ban с включенным loglevel = DEBUG
сначала смотрии exim_reject

Код: Выделить всё

2014-06-25 00:57:43  auth_login authenticator failed for (User) [50.57.186.49] I=[91.185.48.163]:25: 535 Incorrect authentication data (set_id=admin)
2014-06-25 00:57:43  auth_login authenticator failed for (User) [50.57.186.49] I=[91.185.48.163]:25: 535 Incorrect authentication data (set_id=admin)
а в логах fail2ban

Код: Выделить всё

2014-06-25 00:57:43,747 fail2ban.server.filterpoll[66537]: DEBUG   /var/log/maillog has been modified
2014-06-25 00:57:43,747 fail2ban.server.datedetector[66537]: DEBUG   Matched time template (?:DAY )?MON Day 24hour:Minute:Second(?:\.Microseconds)?(?: Year)?
2014-06-25 00:57:43,748 fail2ban.server.datedetector[66537]: DEBUG   Got time 1403625463.000000 for "u'Jun 25 00:57:43'" using template (?:DAY )?MON Day 24hour:Minute:Second(?:\.Microseconds)?(?: Year)?
2014-06-25 00:57:43,748 fail2ban.server.filter[66537]: DEBUG   Processing line with time:1403625463.0 and ip:50.57.186.49
В итоге в таблицу 50 ничего не добавляется.
Есть подозрения что f2b не нравится время в логах, мол оно не соотносится с его временем( не знаю откуда его он берет), если что у меня utc+9 и в логах правильное местное время отображается.

Код: Выделить всё

pkg info py27-fail2ban
py27-fail2ban-0.9.0_2
Name           : py27-fail2ban
Version        : 0.9.0_2
Installed on   : Sun Jun 22 03:30:11 IRKT 2014
Origin         : security/py-fail2ban
Architecture   : freebsd:10:x86:64
Prefix         : /usr/local
Categories     : security python
Licenses       : GPLv2
Maintainer     : theis@gmx.at
WWW            : http://www.fail2ban.org/wiki/index.php/Main_Page
Comment        : Scans log files and bans IP that makes too many password failures
Flat size      : 737KiB
Description    :
Fail2ban scans log files like /var/log/pwdfail or /var/log/apache/error_log
and bans IP that makes too many password failures. It updates firewall rules
to reject the IP address.
uname -a
FreeBSD 10.0-RELEASE FreeBSD 10.0-RELEASE #0 r260789: Thu Jan 16 22:34:59 UTC 2014


Кстати не использую action bsd-ipfw по причине этого бага -> https://github.com/fail2ban/fail2ban/issues/713, который вроде пофиксили, но не ясно когда свежая версия будет в портах.

risk94
лейтенант
Сообщения: 831
Зарегистрирован: 2007-06-01 19:27:51

Статейка про Fail2ban

Непрочитанное сообщение risk94 » 2016-09-28 10:40:55

таже петрушка - ip в фаер не добавляются.... аномалий не видно..

gyurza2000
лейтенант
Сообщения: 895
Зарегистрирован: 2007-07-08 23:53:20
Откуда: SPb
Контактная информация:

Статейка про Fail2ban

Непрочитанное сообщение gyurza2000 » 2018-10-10 12:21:32

День добрый, вопрос. В статье упоминается вставка 2х таблиц в ipfw. В какое именно место ipfw втыкать данные таблицы? До NATа, после или ещё после каких строк?
Xeon X5460, RAM 8Gb, FreeBSD 13.1-RELEASE on amd64, Apache 2.4, PHP 7.3.30, MySQL 5.7, Exim 4.95_5, Dovecot 2.3.19.1

gyurza2000
лейтенант
Сообщения: 895
Зарегистрирован: 2007-07-08 23:53:20
Откуда: SPb
Контактная информация:

Статейка про Fail2ban

Непрочитанное сообщение gyurza2000 » 2018-10-12 16:22:52

Скажите, а в /usr/local/etc/fail2ban/filter.d./apache-nohome.conf может присутствовать только одно правило?
А то мне хотелось бы резать ещё и такие случаи:

Код: Выделить всё

[client 114.55.62.121:26957] AH01630: client denied by server configuration: /WWW/мойсайт/db_session.init.php
Xeon X5460, RAM 8Gb, FreeBSD 13.1-RELEASE on amd64, Apache 2.4, PHP 7.3.30, MySQL 5.7, Exim 4.95_5, Dovecot 2.3.19.1

zarathustra
рядовой
Сообщения: 14
Зарегистрирован: 2013-01-26 12:14:57
Откуда: СССР
Контактная информация:

Статейка про Fail2ban

Непрочитанное сообщение zarathustra » 2019-09-26 10:17:08

Подскажите, есть ли опыт (или примеры) связки fail2ban с mpd5 (L2TP)? К сожалению, на просторах найти ничего не смог, а сам в этом не силен...
Изображение
Приумножая познания, приумножаешь и скорбь.....(с)

gyurza2000
лейтенант
Сообщения: 895
Зарегистрирован: 2007-07-08 23:53:20
Откуда: SPb
Контактная информация:

Статейка про Fail2ban

Непрочитанное сообщение gyurza2000 » 2019-10-21 12:16:05

Не подскажите, как настроить fail2ban 0.10.4_2 на отправку уведомлений на e-mail посредством Exim?
Xeon X5460, RAM 8Gb, FreeBSD 13.1-RELEASE on amd64, Apache 2.4, PHP 7.3.30, MySQL 5.7, Exim 4.95_5, Dovecot 2.3.19.1

gyurza2000
лейтенант
Сообщения: 895
Зарегистрирован: 2007-07-08 23:53:20
Откуда: SPb
Контактная информация:

Статейка про Fail2ban

Непрочитанное сообщение gyurza2000 » 2019-10-29 0:05:41

Помогите с конфигом, пжлст

Код: Выделить всё

[exim]
enabled = true
port   = smtp,465,submission
logpath = /var/log/exim/exim_main.log
action = bsd-ipfw[table=20]
          %(action_mwl)s
Если такой код - F2B бодро шлёт письма о бане/разбане и т.д.,но, в таблицы ничего не вносит и не банит
Если убрать последнюю строку, тогда F2B вносит всё в таблицы ipfw, но, естественно, никаких писем не шлёт.
Как бы совместить?
Xeon X5460, RAM 8Gb, FreeBSD 13.1-RELEASE on amd64, Apache 2.4, PHP 7.3.30, MySQL 5.7, Exim 4.95_5, Dovecot 2.3.19.1