我的 fail2ban 日志中/var/log/fail2ban.log完全充满了以下内容:
fail2ban.filter : WARNING Determined IP using DNS Lookup: [IP address]
我认为这可能是在我更改 ssh 端口后开始的......
知道这是什么原因造成的以及如何阻止它吗?
答案1
遇到了同样的问题。
简单的解决方案:在文件顶部的部分/etc/fail2ban/jail.conf中添加以下行[DEFAULT]
usedns = no
要了解为什么日志文件中充满了警告,请查阅Fail2Ban wiki 中的以下页面。这基本上是为了防止人们操纵他们的攻击 IP 的 PTR 记录来向您的日志中注入虚假值。
答案2
检查 [IP 地址] 的 PTR 记录,并将解析的名称与原始 IP 地址进行比较,即
drill -x ip_address or dig -x ip_address or host ip_address
然后将结果与以下结果进行比较:
drill result or dig result or host result
应该是一样的。如果不是 - 攻击者更改了 PTR。您可以usedns在 中将指令修改为“no”或“warn” jail.conf。
答案3
就我而言,警告是:
WARNING Determined IP using DNS Lookup: localhost = ['127.0.0.1', '127.0.0.1', '::1']
每 10 秒就会出现一次。设置usedns=no不是选项,因为我想找到根本原因 - 毕竟我的日志中某处出现了这个“localhost”。在尝试了一堆日志后,我采取了“暴力”方式:
find /var/log -type f -name '*.log' | xargs grep localhost -l
它给了我所有包含“localhost”的日志文件(只有两个,其中一个是它fail2ban.log自己)。
原来是“mysql/error.log”出了问题。我删除了一个数据库,但没有停止服务(天哪……),这导致(每 10 秒):
2021-01-20T05:31:17.784116Z 2680 [Note] Access denied for user 'myserviceaccount'@'localhost' (using password: YES)。
最后 - 无需停止警告(只需停止服务;-))。