OK:だからDebian 8.7システムにfailure2banをインストールしました。私のiptablesは次のとおりです。
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N fail2ban-ssh-daily
-N fail2ban-ssh-permaban
-N fail2ban-ssh-yearban
-N fail2ban-sshd
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-sshd
-A fail2ban-sshd -j RETURN
これ
-N fail2ban-sshd
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-sshd
-A fail2ban-sshd -j RETURN
デフォルトはfail2ban.sshd- 命名規則を次のように指定したいと思います。
-N fail2ban-ssh-daily(基本FAIL2BAN-SSHD禁止の場合)-N fail2ban-ssh-permaban(永久禁止用)-N fail2ban-ssh-yearban(年間禁止用)
デフォルト設定を使用して追加を停止しfail2ban.sshd、fall2banを使用して刑務所を設定したいと思います。これにより、次のことができます。
- 毎日の禁止チェーンの設定 - 毎日の禁止は24時間後に削除されます(IPも記録したいが、/etc/fail2ban/ip.blocklist.nameは禁止を記録しません。ファイルも生成されません。残っているときに触れます)若い- 私は3つのログ(毎日、年間、永久)が欲しいです。これにより、適切なしきい値に達するとIPが禁止され、正しいチェーン(毎日、永続、年間)に配置され、次にip.blocklist.sshが生成されます。 - daily、ip.blocklist.ssh-yearban、およびip.blocklist.ssh-permaban)しかし失敗2ban.sshdチェーンを削除することはできません。 - 「fail2ban-ssh-daily」で毎日の禁止を確認したい。どうすればいいですか?私が指定したチェーンを維持しますか? ) また、iptablesルールも正しいことを確認したいと思います。
- 年間禁止チェーンの設定:年間禁止は、私のサーバーに接続しようとする人のためのものです。これらのユーザーはfail2ban-ssh-yearbanに配置され、そのIPはip.blocklist.yearbanに書き込まれ、ロードされます。これらのユーザーは、私のサーバーで約100回試行してから1年間ブロックされます。
- PERMABANチェーン設定:PERMA禁止は、私のサーバーを攻撃し続けたい人、または最悪のIP(中国、インドなど)です。これらのIPはfail2ban-ssh-PERMABANに配置され、そのIPがログに記録され、hosts.denyに配置され、badips.comまたはサイト名が何でも報告されます。私のサーバーに対して500回の試みに設定したようです。
問題は次のとおりです。 failure2banに関する質問に対する一般的な回答のみが表示されます。 action.d/iptables-multiportファイルと必要なすべてのフィルタを設定する必要がありますが、iptables-ssh-daily、iptables-ssh-yearbanを設定したいと思います。インスタンスごとにiptables-ssh-permaban設定ファイルがありますが、試してみましたが、悲惨に失敗しました。
また、/var/log/fail2ban.logに多くのゴミが表示され、何らかの理由でアドレスを禁止しないというエラーが発生します。不明です。起動して変更しない限り、エラーが発生します。何も - それ以外の場合は、IPが存在するかどうかにかかわらず、ブロックリストにIPを追加せず、正しくフィルタリングしません。 IPが禁止されていることをメールで通知しますが、Failtobanログには6が表示されます。 -7個同じIPがブロックされているか、ログインしていないか、ブロックされています。
私がやりたいことをする方法を知っている人はいますか?これらの試みを追跡したいのですが、システムは正常に動作しません。〜しない限り私はそれを維持します。
次のチェーン名を取得し、システムに禁止を追加するようにFail2banを変更するにはどうすればよいですか?適切デイリーチェーン、年間チェーン、パーマバンチェーン?
それらはすべてXでマークされています。赤そしてfailure2ban.sshdはまだ存在します。緑の編集は役に立たず、私が尋ねた質問に答えませんでした。
- 使用するルールは次のとおりです。 -N failure2ban-ssh-daily (基本 FAIL2ban-Sshd 禁止用) -N failure2ban-ssh-permaban (永久禁止用) -N failure2ban-ssh-yearban (年間禁止用) (追加 - N IP が行く唯一の場所である Fail2ban .sshd)
- 各禁止タイプに対してiptablesファイルを設定し、関連するチェーンip.blocklist.daily、ip.blocklist.yearly、およびipblocklist.permabanに対してip.blocklistを提供したいと思います。
禁止措置が正しいチェーンに到達できるように、iptablesの助けが必要です。使用したい刑務所の下にijail.localファイルを置きます。
[ssh-daily] enabled = false filter = sshd action = iptables-ssh-daily[name=ssh-daily] sendmail-whois[name=SSH-Daily, dest=root@localhost, sender=root@localhost] logpath = %(sshd_log)s maxretry = 10 findtime = 600 bantime = 86400 [ssh-yearban] enabled = false filter = sshd action = iptables-ssh-yearban[name=ssh-yearban] sendmail-whois[name=SSH-Yearban, dest=root@localhost, sender=root@localhost] logpath = %(sshd_log)s maxretry = 35 findtime = 3153600 bantime = 3153600 [ssh-permaban] enabled = true filter = sshd action = iptables-ssh-permaban[name=ssh-permaban] sendmail-whois[name=SSH-PermaBan dest=root@localhost, sender=root@localhost] logpath = %(sshd_log)s maxretry = 100 findtime = -3153600 bantime = -3153600
刑務所は機能しなければなりませんが、各スタンザに対してDaily、Yearly、およびPermabanチェーンとブロックリストにIPを追加することを確認する必要があります。どこでも問題が発生し、多くの問題があります。ごみin /var/log/fail2ban.log- 設定をカスタマイズしたいが機能できません。
今、あなたは正しいルールでiptablesを編集するために何をすべきかを教えてくれます。