私のサーバーはDebian 8を実行しており、vsftpdのバージョンは3.0.2-17です。最近、私のvsftpd.logは次のように入力されました。
vsftpd.log
Mon Mar 7 18:13:44 2016 [pid 13499] CONNECT: Client "::ffff:xxx.xxx.xx.xx"
Mon Mar 7 18:13:45 2016 [pid 13501] CONNECT: Client "::ffff:xxx.xxx.xx.xx"
Mon Mar 7 18:13:46 2016 [pid 13503] CONNECT: Client "::ffff:xxx.xxx.xx.xx"
Mon Mar 7 18:13:47 2016 [pid 13505] CONNECT: Client "::ffff:xxx.xxx.xx.xx"
...
...
これはすべて同じIPアドレスで6000行を超えて行われます(ログファイルの断片からIPを難読化しました)。デフォルトのvsftpd.confファイルを使用して実行されているfall2ban(バージョン0.8.13-1)刑務所がありますが、認証失敗は記録されないため、禁止はありません。参考のためのフィルタは次のとおりです。
fall2ban vsftpd.conf正規表現
failregex = ^%(__prefix_line)s%(__pam_re)s\s+authentication failure; logname=\S* uid=\S* euid=\S* t$
^ \[pid \d+\] \[.+\] FAIL LOGIN: Client "<HOST>"\s*$
これは私のvsftpd設定ファイルです。
vsftpd.conf
listen=NO
listen_ipv6=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=<path to .pem file>
rsa_private_key_file=<path to key file>
ssl_enable=YES
ssl_tlsv1=YES
ssl_ciphers=HIGH
pasv_min_port=XXXX
pasv_max_port=XXXX
何が起こっているのかを理解するのに役立つ人はいますか?ログに失敗したログイン試行がないのはなぜですか?誰かが実際にシステムにアクセスしたという他の証拠を見つけることができません。
ところで、私の意図は、私が必要なときにのみvsftpdサービスを開始して停止することでしたが、起動からサービスを削除できなかったため、再起動したときに次に開始されたことに気づかずに再びオンになりました.私は問題を解決しましたが、まだ問題とこの場合にFail2banをどのように機能させるかを理解したいと思います。
ベストアンサー1
接続操作とログイン操作は同じではありません。
インターネット上の一部のボットは、FTPサーバーがアクティブであることを確認し、ログインしようとせずに接続を切断することがあります(時々あなたの場合のようにループで)。これは正常です。ここに問題はありません。
自分で試してみてください。ただ実行してください:
$ telnet whatever-domain.com 21
Trying 999.9.9.9...
Connected to whatever-domain.com.
Escape character is '^]'.
220 (vsFTPd 3.0.2)
^]
telnet> Connection closed.
確認すると、vsftpd log目的の行だけが表示され、CONNECTそれ以上は表示されません。