我是新的服务器管理员。我刚刚在 ubuntu 12.04 VPS 上设置了fail2ban。我用了这教程。然后我尝试从朋友的机器上通过 ssh 登录系统。显示“操作超时”。这似乎意味着fail2ban正在发挥作用——但我想仔细检查一下以确定。当fail2ban封锁了你的IP时,客户端的情况是这样的吗?你的SSH登录超时是因为fail2ban/iptables不允许它在服务器端启动?
$ ssh -p# user@IP
user@IP's password:
Permission denied, please try again.
user@IP's password:
Permission denied, please try again.
user@IP's password:
^C
$ ssh -p# user@IP
ssh: connect to host IP port #: Operation timed out
$ ssh -p# user@IP
ssh: connect to host IP port #: Operation timed out
答案1
如果您查看本教程,它指出您将看到与您所看到的内容一致的超时,标题为:Fail2ban - Rackspace 知识中心。
摘录
让我们测试fail2ban 以确保它的行为符合我们的要求。我们将通过几次 ssh 登录失败来实现这一点。
我们将使用两台机器:我们要保护的服务器和另一台充当攻击者的机器。
- 攻击机IP:123.45.67.89
- 服务器IP:98.76.54.32
要运行测试,只需登录攻击机器并尝试 ssh 到您的服务器五次。例如:
$ ssh [email protected]第六次尝试后(假设您将 ssh 的 maxretry 设置为 5),如果您再次尝试 ssh 登录,您的连接应该会超时。
笔记:最后一句话就是你所看到的!
您还可以设置fail2ban发送类似于此的电子邮件:
如果您将fail2ban 设置为向您发送电子邮件,请检查您是否收到如下消息:
From fail2ban@ITSecurity Thu Jul 16 04:59:24 2009 Subject: [Fail2Ban] ssh: banned 123.45.67.89 Hi, The ip 123.45.67.89 has just been banned by Fail2Ban after 5 attempts against ssh. Here are more information about 123.45.67.89: {whois info} Lines containing IP:123.45.67.89 in /var/log/auth.log Jul 16 04:59:16 example.com sshd[10390]: Failed password for root from 123.45.67.89 port 46023 ssh2 Jul 16 04:59:18 example.com sshd[10390]: Failed password for root from 123.45.67.89 port 46023 ssh2 Jul 16 04:59:20 example.com sshd[10390]: Failed password for root from 123.45.67.89 port 46023 ssh2 Jul 16 04:59:21 example.comsshd[10394]: reverse mapping checking getaddrinfo for 123.45.67.89.example.com [123.45.67.89] failed - POSSIBLE BREAK-IN ATTEMPT! Jul 16 04:59:22 example.com sshd[10394]: Failed password for root from 123.45.67.89 port 46024 ssh2 Regards, Fail2Ban
也许最有效的迹象fail2ban是存在一条新iptables规则,该规则现在正在阻止攻击 IP 地址。
例如:
iptables -L
Chain fail2ban-ssh (1 references)
target prot opt source destination
DROP all -- 208-78-96-200.realinfosec.com anywhere