环境:*CentOS 6.5 *Fail2Ban 0.8.14-1 *date 输出正确的日期
行为:Fail2ban 成功启动,但在 SSH 登录尝试失败后不会创建 iptables 阻止。目前我只关心 SSH。我尝试使用本指南重新安装:https://www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-fail2ban-on-centos-6
Fail2Ban 曾经有效 - 但通过系统更新,它似乎已停止工作。如果我运行
sudo service fail2ban restart
我收到一封电子邮件说监狱已经停止,另一封电子邮件说监狱已经开始,因此看来fail2ban正在运行并且正常运作。
我的 /etc/fail2ban/jail.local 文件包含以下条目:
[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected], sendername="Fail2Ban"]
logpath = /var/log/secure
maxretry = 5
我的 IP 地址未列在 ignoreip 声明中。我使用的标准 bantime 为 600,findtime 为 600,maxretry 为 3。
当我查看 /var/log/secure 时,我看到很多失败的尝试:
Sep 30 00:17:02 nebo unix_chkpwd[3796]: password check failed for user (root)
Sep 30 00:17:02 nebo sshd[3794]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=60.173.26.189 user=root
iptables -L 似乎报告 fail2ban 确实有一个链:
Chain fail2ban-SSH (2 references)
target prot opt source destination
RETURN all -- anywhere anywhere
我目前最好的客人是actions.d/sshd.conf中sshd的操作是使用正则表达式来查看日志文件,但它与CentOS日志的当前语法不匹配,因此被禁止尝试。
时间不同步于:为什么 fail2ban 无法阻止失败?
运行 fail2ban-regex 来测试我的理论,看起来我可能走在正确的轨道上:
[isdept@nebo action.d]$ sudo fail2ban-regex /var/log/secure /etc/fail2ban/filter.d/sshd.conf
Running tests
=============
Use failregex file : /etc/fail2ban/filter.d/sshd.conf
Use log file : /var/log/secure
Results
=======
Failregex: 0 total
Ignoreregex: 0 total
Date template hits:
|- [# of hits] date format
| [22655] MONTH Day Hour:Minute:Second
`-
Lines: 22655 lines, 0 ignored, 0 matched, 22655 missed
Missed line(s): too many to print. Use --print-all-missed to print all 22655 lines
我不太清楚如何修改正则表达式来修复这个问题(如果这是问题的话),但我很惊讶地发现,由于 CentOS 很常见,我还没有找到简单的解决方法。我很乐意提供任何其他信息。感谢您提供的任何提示或指示!
为了安全起见 - 我目前正在禁用对该主机的公共访问。
答案1
好吧,我不是正则表达式大师(甚至不是新手),但我确实通过添加以下内容设法使其工作:
^.*authentication failure;.*rhost=<HOST>
到 filters.d/sshd.conf。这样就成功了,我成功禁止了我的第一个主机。如果有正则表达式专家愿意参与进来,我将不胜感激。我确信在这个简短的表达式中我遗漏了一个在某种情况下会失败的情况。
谢谢!
答案2
@SteadH 在您的初始帖子中您有以下内容:
[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected], sendername="Fail2Ban"]
logpath = /var/log/secure
maxretry = 5
[ssh-iptables]:是过滤器名称/参考,
过滤器 = sshd:是 /filter.d 中带有正则表达式过滤器的文件(sshd.conf)
那么,您在上一篇文章中对 sshd-iptables.conf 进行了编辑吗?您对 sshd.conf 进行了 fail2ban-regex 检查吗?您使用的是哪个文件?哪个文件存在,还是两个文件都存在。我可以为您提供正则表达式模式,但我需要确保我正在寻找正确的匹配模式。
答案3
我今天正在处理同样的问题,也是在 centos 6.5 上。
就我而言,发行版文件名为 filters.d/sshd.conf,而不是您所写的 filters.d/sshd-iptables.conf。不确定为什么您的和我的会不同。但无论如何,我相信问题是相同的。
我的 secure.log 中的一个示例条目如下:
Oct 11 11:11:11 myhostname sshd[12345]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=1.2.3.4
发行版 filters.d/sshd.conf 中最接近的匹配 failregex 是这个:
^%(__prefix_line)s(?:error: PAM: )?[aA]uthentication (?:failure|error) for .* from <HOST>( via \S+)?\s*$
这显然与上面的例子不匹配,因为有“from”和“via”字符串,而没有“rhost=”字符串。我尝试修复这个问题的方法如下。
第一个 mod,不匹配:
^%(__prefix_line)s(?:error: PAM: )?[aA]uthentication (?:failure|error); .* rhost=<HOST> .*$第二个 mod,不匹配:
^%(__prefix_line)[aA]uthentication (?:failure|error); .* rhost=<HOST> .*$第三个模型,匹配:
[aA]uthentication (?:failure|error); .* rhost=<HOST> .*$
__prefix_line 正则表达式子表达式来自 filters.d/common.conf,是尝试匹配已知 linux 日志条目前缀格式的所有可能排列的一个很好的尝试,但不幸的是,它需要针对我们特定的 centos 6.5 情况进行一些调整。我可能会尝试一下,但第一眼看到 common.conf 中的正则表达式就让我头疼。没有 __prefix_line 的较不复杂的正则表达式可能就足够了。
答案4
@SteadH 根据您的解决方案,我发现了问题的根源。sshd 过滤器都以“$”(美元)结尾,在某些正则表达式中,它与行尾匹配(我注意到您的修复没有)。好吧,我删除了美元,然后它开始工作了!我认为其中某个地方可能存在一些配置错误,导致“$”不起作用。无论如何,请尝试修复。