私は新しいサーバーマネージャです。私はUbuntu 12.04 VPSでfall2banを設定しました。使ったこれマップ時間。その後、友人のコンピュータからSSH経由でシステムにログインしようとしました。 「ジョブタイムアウト」が表示されます。これはFail2banが役割を果たすことを意味するようです。でも確かにまた確認したかったです。 Fail2banがあなたのIPをブロックすると、クライアント側でこれが起こりますか? fall2ban / iptablesがサーバー側で起動を許可しないため、SSHログインがタイムアウトしますか?
$ ssh -p# user@IP
user@IP's password:
Permission denied, please try again.
user@IP's password:
Permission denied, please try again.
user@IP's password:
^C
$ ssh -p# user@IP
ssh: connect to host IP port #: Operation timed out
$ ssh -p# user@IP
ssh: connect to host IP port #: Operation timed out
ベストアンサー1
このチュートリアルを見ると、次のタイトルの内容に一致するタイムアウトが表示されることがわかります。Fail2ban - Rackspace Knowledge Center。
抜粋
Fail2banをテストして、必要に応じて動作していることを確認します。数回のSSHログインに失敗しました。
私たちは、保護するサーバーと攻撃者として機能する別のコンピュータという2台のコンピュータを使用します。
- 攻撃マシンIP:123.45.67.89
- サーバーIP:98.76.54.32
テストを実行するには、攻撃システムにログインしてサーバーにSSHを5回試してください。たとえば、
$ ssh [email protected]
6回目の試行後(sshのmaxretryを5に設定したと仮定)、SSHを再試行すると接続がタイムアウトします。
メモ:最後の文章はご覧の通りです!
fail2ban
次のような電子メール送信を設定することもできます。
電子メールを送信するようにFail2banを設定した場合は、次のメッセージが表示されていることを確認してください。
From fail2ban@ITSecurity Thu Jul 16 04:59:24 2009 Subject: [Fail2Ban] ssh: banned 123.45.67.89 Hi, The ip 123.45.67.89 has just been banned by Fail2Ban after 5 attempts against ssh. Here are more information about 123.45.67.89: {whois info} Lines containing IP:123.45.67.89 in /var/log/auth.log Jul 16 04:59:16 example.com sshd[10390]: Failed password for root from 123.45.67.89 port 46023 ssh2 Jul 16 04:59:18 example.com sshd[10390]: Failed password for root from 123.45.67.89 port 46023 ssh2 Jul 16 04:59:20 example.com sshd[10390]: Failed password for root from 123.45.67.89 port 46023 ssh2 Jul 16 04:59:21 example.comsshd[10394]: reverse mapping checking getaddrinfo for 123.45.67.89.example.com [123.45.67.89] failed - POSSIBLE BREAK-IN ATTEMPT! Jul 16 04:59:22 example.com sshd[10394]: Failed password for root from 123.45.67.89 port 46024 ssh2 Regards, Fail2Ban
おそらく最も効果的な信号は、攻撃するIPアドレスをブロックするfail2ban
新しい規則があるということです。iptables
たとえば、
iptables -L
Chain fail2ban-ssh (1 references)
target prot opt source destination
DROP all -- 208-78-96-200.realinfosec.com anywhere