我有一台在 VPS 上运行的 Debian 10 服务器。我安装的唯一软件是:tinyproxy(http 代理)和 fail2ban
我已使用 nmap 进行了端口扫描
我已将我的具体设置包含在fail2ban jail.local文件中。
我已将我的具体设置包含在fail2ban fail2ban.local文件中。
下面我附上了来自身份验证日志的条目样本。
下面我附上了来自 fail2ban 日志的条目示例。
我已将 IpTables 样本扫描的结果包含在内。
我不明白 fail2ban 是否正常工作,即根据 fail2ban 在 IP 表中所做的条目导致 IP 被阻止。
例如:
== auth.log 显示 192.241.141.43 几乎每分钟尝试进入
==fail2ban.log 显示 192.241.141.43 被禁止
== Iptables 显示 192.241.141.43 被禁止
我以为,由于 IP 被封锁,恶意用户将无法尝试登录。但看起来这些用户确实可以尝试登录。
我的问题是:
- 看起来 fail2ban 正在运行吗?
- 为什么恶意用户在被禁止的情况下仍可尝试登录?
非常感谢 !
=== === nmap 扫描的结果
# Nmap 7.80 扫描于 2024 年 1 月 27 日星期六 15:25:04 启动,扫描内容为:nmap -sS -oG out.txt 107.174.156.124 主机:107.174.156.124(107-174-156-124-host.colocrossing.com) 地位: 向上 主机:107.174.156.124(107-174-156-124-host.colocrossing.com) 端口: 139/过滤/tcp//netbios-ssn///, 445/过滤/tcp//microsoft-ds///, 8888/open/tcp//sun-answerbook/// 忽略状态:关闭(997) # Nmap 于 2024 年 1 月 27 日星期六 15:25:06 完成 -- 2.20 秒内扫描了 1 个 IP 地址(1 个主机启动)
=== === 这是我在 jail.local 中的条目
# # JAILS # # # SSH 服务器 # [sshd] # 要使用更积极的 sshd 模式,请在 jail.local 中设置过滤参数“mode”: # 正常(默认)、ddos、额外或激进(结合全部)。 # 查看“tests/files/logs/sshd”或“filter.d/sshd.conf”了解使用示例和详细信息。 #模式 = 正常 已启用=真 模式 = 激进 端口 = 63xxx 过滤器 = sshd 日志路径 = /var/log/auth.log 银行时间 = 2000000 查找时间 = 7200 最大重试次数 = 2 后端 = %(sshd_backend)s 操作 = iptables-multiport[名称=sshd,端口="ssh",协议=tcp]
=== === 这是我在 fail2ban.local 中的条目
# 选项:dbpurgeage # 注释:设置应从数据库中清除禁令的年龄 # 值:[ 秒 ] 默认值: 86400 (24 小时) dbpurgeage = 2100000
=== === 以下是示例 Auth 日志
举例来说,192.241.141.43 进行了多次尝试,并且几乎每分钟都会重复一次!
1 月 27 日 15:54:55 racknerd-64d010 sshd[2232]: pam_unix(sshd:auth): 身份验证失败;logname=uid=0 euid=0 tty=ssh ruser=rhost=192.241.141.43 user=root 1 月 27 日 15:54:57 racknerd-64d010 sshd[2232]: 来自 192.241.141.43 端口 54798 ssh2 的 root 密码失败 1 月 27 日 15:54:57 racknerd-64d010 sshd[2232]: 已从 192.241.141.43 端口 54798:11 断开连接:再见 [预认证] 1 月 27 日 15:54:57 racknerd-64d010 sshd[2232]: 已断开与正在验证用户 root 192.241.141.43 端口 54798 的连接 [预验证]
=== === 这是 fail2ban 的示例
例如,fail2ban 说 192.241.141.43 被禁止
2024-01-27 15:55:50,928 fail2ban.actions [29992]: 警告 [sshd] 82.102.12.130 已被禁止 2024-01-27 15:55:50,929 fail2ban.actions [29992]: 警告 [sshd] 192.241.141.43 已被禁止 2024-01-27 15:55:50,929 fail2ban.actions [29992]: 警告 [sshd] 159.75.161.40 已被禁止
=== === Iptables 扫描的结果
IP 192.241.141.43 已被禁止
0 0 全部拒绝 -- * * 61.231.64.170 0.0.0.0/0 拒绝,ICMP 端口不可达 0 0 全部拒绝 -- * * 192.241.141.43 0.0.0.0/0 拒绝,ICMP 端口不可达 0 0 全部拒绝 -- * * 104.250.34.177 0.0.0.0/0 拒绝,ICMP 端口不可达
答案1
看起来它正在根据您的日志文件工作。
/var/log/fail2ban.log
Fail2ban 也有自己的工具来检查状态
fail2ban-client status sshd
在我的机器上它看起来像这样
Status for the jail: sshd
|- Filter
| |- Currently failed: 3
| |- Total failed: 192
| `- File list: /var/log/auth.log
`- Actions
|- Currently banned: 41
|- Total banned: 41
`- Banned IP list: 139.199.207.102 1
57.230.232.203 167.71.61.117 178.128.244.
113 185.36.81.42 221.226.2.122 222.186.16
.186 222.186.16.198 45.155.91.99 52.91.19
4.171 78.68.68.246 212.70.149.150 141.98.
11.90 85.209.11.27 138.68.111.27 183.221.
243.20 218.92.0.56 218.92.0.113 218.92.0.
112 218.92.0.22 218.92.0.25 218.92.0.76 2
18.92.0.107 85.209.11.254 218.92.0.34 218
.92.0.118 180.101.88.197 218.92.0.29 218.
92.0.24 218.92.0.27 141.98.11.11 1.117.16
8.14 180.101.88.196 218.92.0.31 88.182.25
1.194 88.214.25.16 35.243.208.234 124.222
.51.236 118.121.200.110 14.103.25.183 121
.164.71.235