=== === nmap 扫描的结果

tag-icon tag-icon fail2ban
=== === nmap 扫描的结果

我有一台在 VPS 上运行的 Debian 10 服务器。我安装的唯一软件是:tinyproxy(http 代理)和 fail2ban

我已使用 nmap 进行了端口扫描

我已将我的具体设置包含在fail2ban jail.local文件中。

我已将我的具体设置包含在fail2ban fail2ban.local文件中。

下面我附上了来自身份验证日志的条目样本。

下面我附上了来自 fail2ban 日志的条目示例。

我已将 IpTables 样本扫描的结果包含在内。

我不明白 fail2ban 是否正常工作,即根据 fail2ban 在 IP 表中所做的条目导致 IP 被阻止。

例如:

== auth.log 显示 192.241.141.43 几乎每分钟尝试进入

==fail2ban.log 显示 192.241.141.43 被禁止

== Iptables 显示 192.241.141.43 被禁止

我以为,由于 IP 被封锁,恶意用户将无法尝试登录。但看起来这些用户确实可以尝试登录。

我的问题是:

  1. 看起来 fail2ban 正在运行吗?
  2. 为什么恶意用户在被禁止的情况下仍可尝试登录?

非常感谢 !

=== === nmap 扫描的结果

# Nmap 7.80 扫描于 2024 年 1 月 27 日星期六 15:25:04 启动,扫描内容为:nmap -sS -oG out.txt

107.174.156.124

主机:107.174.156.124(107-174-156-124-host.colocrossing.com)   
地位:
向上
主机:107.174.156.124(107-174-156-124-host.colocrossing.com)   
端口:
139/过滤/tcp//netbios-ssn///,
445/过滤/tcp//microsoft-ds///,
8888/open/tcp//sun-answerbook///    
忽略状态:关闭(997)

# Nmap 于 2024 年 1 月 27 日星期六 15:25:06 完成
-- 2.20 秒内扫描了 1 个 IP 地址(1 个主机启动)

=== === 这是我在 jail.local 中的条目

#
# JAILS
#

#
# SSH 服务器
#

[sshd]

# 要使用更积极的 sshd 模式,请在 jail.local 中设置过滤参数“mode”:
# 正常(默认)、ddos、额外或激进(结合全部)。
# 查看“tests/files/logs/sshd”或“filter.d/sshd.conf”了解使用示例和详细信息。
#模式 = 正常
已启用=真
模式 = 激进
端口 = 63xxx
过滤器 = sshd
日志路径 = /var/log/auth.log
银行时间 = 2000000
查找时间 = 7200
最大重试次数 = 2
后端 = %(sshd_backend)s
操作 = iptables-multiport[名称=sshd,端口="ssh",协议=tcp]

=== === 这是我在 fail2ban.local 中的条目

# 选项:dbpurgeage
# 注释:设置应从数据库中清除禁令的年龄
# 值:[ 秒 ] 默认值: 86400 (24 小时)
dbpurgeage = 2100000

=== === 以下是示例 Auth 日志

举例来说,192.241.141.43 进行了多次尝试,并且几乎每分钟都会重复一次!

1 月 27 日 15:54:55 racknerd-64d010 sshd[2232]: pam_unix(sshd:auth): 身份验证失败;logname=uid=0 euid=0 tty=ssh ruser=rhost=192.241.141.43 user=root
1 月 27 日 15:54:57 racknerd-64d010 sshd[2232]: 来自 192.241.141.43 端口 54798 ssh2 的 root 密码失败
1 月 27 日 15:54:57 racknerd-64d010 sshd[2232]: 已从 192.241.141.43 端口 54798:11 断开连接:再见 [预认证]
1 月 27 日 15:54:57 racknerd-64d010 sshd[2232]: 已断开与正在验证用户 root 192.241.141.43 端口 54798 的连接 [预验证]

=== === 这是 fail2ban 的示例

例如,fail2ban 说 192.241.141.43 被禁止

2024-01-27 15:55:50,928 fail2ban.actions [29992]: 警告 [sshd] 82.102.12.130 已被禁止
2024-01-27 15:55:50,929 fail2ban.actions [29992]: 警告 [sshd] 192.241.141.43 已被禁止
2024-01-27 15:55:50,929 fail2ban.actions [29992]: 警告 [sshd] 159.75.161.40 已被禁止

=== === Iptables 扫描的结果

IP 192.241.141.43 已被禁止

    0 0 全部拒绝 -- * * 61.231.64.170 0.0.0.0/0 拒绝,ICMP 端口不可达
    0 0 全部拒绝 -- * * 192.241.141.43 0.0.0.0/0 拒绝,ICMP 端口不可达
    0 0 全部拒绝 -- * * 104.250.34.177 0.0.0.0/0 拒绝,ICMP 端口不可达

答案1

看起来它正在根据您的日志文件工作。

/var/log/fail2ban.log

Fail2ban 也有自己的工具来检查状态 fail2ban-client status sshd

在我的机器上它看起来像这样

Status for the jail: sshd
|- Filter
|  |- Currently failed: 3
|  |- Total failed:     192
|  `- File list:        /var/log/auth.log
`- Actions
   |- Currently banned: 41
   |- Total banned:     41
   `- Banned IP list:   139.199.207.102 1
57.230.232.203 167.71.61.117 178.128.244.
113 185.36.81.42 221.226.2.122 222.186.16
.186 222.186.16.198 45.155.91.99 52.91.19
4.171 78.68.68.246 212.70.149.150 141.98.
11.90 85.209.11.27 138.68.111.27 183.221.
243.20 218.92.0.56 218.92.0.113 218.92.0.
112 218.92.0.22 218.92.0.25 218.92.0.76 2
18.92.0.107 85.209.11.254 218.92.0.34 218
.92.0.118 180.101.88.197 218.92.0.29 218.
92.0.24 218.92.0.27 141.98.11.11 1.117.16
8.14 180.101.88.196 218.92.0.31 88.182.25
1.194 88.214.25.16 35.243.208.234 124.222
.51.236 118.121.200.110 14.103.25.183 121
.164.71.235

相关内容