問題タブ [fail2ban]

サーバーで失敗したログイン試行をブロックするために、fail2ban を使用しています。ブロックは、次の構成の IP テーブルを使用して実行されます。

気になるのはルール処理性能です。上記のルールはステートフル モードであり、ステートレス モードで処理が速くなるかどうか疑問に思っていました。わかりやすくするために、侵入者の IP アドレスを TCP ポート (22 または 25 など) でブロックしています。

私はどこかで、TCP接続の特別な場合、ESTABLISHED、RELATED状態を追加する方が良いと読みました。しかし、各 IP は異なる接続を参照するため、これらの状態を適用する意味はありますか?

アップデート：

ここにサンプルがありますiptables -L：

現在、2 つの IP を持つサーバーがあり、1 つは内部に、もう 1 つは外部にニスがあり、内部に apache バックエンドがあり、fail2ban はほとんどデフォルトで実行されています。

最近、ウェブサイトがダウンして 503 エラーが返され、fail2ban が apache-noscript ルールによってワニスが apache バックエンドと通信することを禁止していたことが判明しました。その後、IP アドレスの除外を追加したため、これが再び禁止されることはありませんが、理想的には、クライアントが将来禁止された場合に優先します。

Apache ログから

ワニスログから

私の apache-noscript 定義をレプリケートして varnishlogs を使用しても問題ないでしょうか。つまり、次のようになります。

なる

apache no script filter に次の failregex があることに気付きました

主な問題は、上記の出力の varnishlog でこれが引き続き機能するかということだと思います。

どうもありがとう。

[編集] 偶然にも、noscript が禁止を行ったことが判明しましたが、上記のログ エントリについてはそうではありませんでした。ここで、上記のログ エントリの fail2ban 正規表現を作成します。

この問題の解決策はありません。

私のjail.confで

私のシステムには、ファイルが存在します /usr/local/apache/logs*/*error.log

/usr/local/apache/logs/error.log およびその他のバリアントを試してみてください。ただし、機能しません。

どのような場合でも、次のメッセージが表示されます。

a を使用して、filter.conf から action.conf へのCIDRregex-variableサブネット マスクをコミットしたいと考えています。アイデアは、 fail2banで IP 範囲をブロック/禁止することです。iptablesはCIDRで動作するため、fail2ban 経由で使用したいと考えています。これは可能ですか？

---

そこで、 failregex 変数 maskをアクション スクリプト にコミットしたいと思います。mask変数を作成する私のfailregexは次のとおりです。

filter.d/test-filter.conf

---

私のテスト文字列は次のようになります: 10.10.10.10/16 [2015-02-11 12:00:00].

---

これは、変数を直接またはjail.local（のように）を介して設定すると正常に機能する私のアクションスクリプトです。maskaction = test-action[mask=16]

action.d/test-action.conf

これが私のjail.localです（変数セットなし）。

刑務所.ローカル

このガイドを使用して Fedora 20 サーバー (Digital Ocean で実行) に fail2ban を正常にインストールした後、fail2ban ログを確認したところ、「[Errno 24] 開いているファイルが多すぎます」というエラーが複数あったことがわかりました。

私はグーグルで検索し、fail2ban のファイル記述子の数 (現在は 1024) を増やす必要があることに気付きましたが、有効な解決策を見つけることができませんでした。

fail2ban のファイル記述子の数を増やすにはどうすればよいですか? または、この環境での他の回避策はありますか?

コマンドラインで手動で Fail2Ban を使用して攻撃者の IP を禁止するにはどうすればよいですか?

apache2 Web サーバーが Web スクレイパーと戦うための簡単なスクリプトを作成しました。すべて正常に動作しますが、MSN ボットが fail2ban をトリガーしています。cron 経由で実行したい別のスクリプトを作成しましたが、次の IP 範囲の禁止を解除するには正確なコマンドが必要です。

私はこのようなものを探しています: iptables -D INPUT -p all -s 157.54.0.0/16 -j DROP など? ありがとう！

誰かが私のサーバーを攻撃していると思われるものに問題があります。plesk 12 と Fail2Ban と ModSecurity がインストールされていますが、次のことには役立たないようです。Wiresharkで確認すると、ある IP アドレスの誰かが次のトラフィックを引き起こし続けています:
162.916029 xxxx -> 69.207.6.43 HTTP 継続または非 HTTP トラフィック
162.916034 xxxx -> 69.207.6.43 HTTP 継続または非 HTTP トラフィック
162.916041 xxxx -> 69.207. 6.43 HTTP 継続または非 HTTP トラフィック
162.916045 xxxx -> 69.207.6.43 HTTP 継続または非 HTTP トラフィック
162.916051 xxxx -> 69.207.6.43 HTTP 継続または非 HTTP トラフィック

これにより、apache プロセスが大量の CPU リソースを消費します。小規模な DDOS 攻撃だと思います。サーバー自体の CPU は、top で確認するとそれほど負荷がかかっていません。

シスコのファイアウォールを取得する代わりに、fail2ban または modsecurity にこのタイプのトラフィックを自動的にフィルタリングする方法があるかどうかを調べようとしています。

fail2ban をインストールし、アスタリスク用に構成しましたが、正常に動作しています。しかし、一貫した登録試行があり、fail2ban は正規表現ステートメントと一致しないため、それを禁止できません..登録試行文字列は

NOTICE[15055][C-00009bed]: chan_sip.c:25679 handle_request_invite: デバイスの認証に失敗しました 333sip:333@xxxx;tag=3a726ea9

この登録声明は、その発信元のIPを提供していません..アドバイスしてください..この声明に正規表現ステートメントを追加できると思います...またはこの試みを停止する他の解決策. この試行頻度は、1 日 5 ～ 10 回の試行のようなものです。私の設定では、3 回の試行を禁止しています。

私は正規表現が得意ではありません - そのため、ブルート フォース SMTP 攻撃を示す plesk メール ログ文字列と一致しないようです -

私のログは次のようになります。

場合によってはこんな感じも

ユーザー名の失敗とパスワードの両方に一致する私の正規表現の試みは、次のようになります

役に立たない他の 20 以上のコンボに加えて、ほとんどの場合、結果はこのようなエラーになります。

ありがとう