fail2ban e denyhosts me banem constantemente no Ubuntu

Question 1

Acredito ter visto alguém dizer que alguns desses aplicativos contarão logins de chave com falha como uma tentativa de força bruta. Você tem um agente ssh rodando com chaves? A conexão com esse conjunto oferecerá todas as chaves antes de voltar à senha, e pode ser por isso. Tente definir o nível de log do sshd mais alto e verifique os logs fail2ban/denyhost.

Editar:aquié a fonte original que me avisou, com uma maneira de consertar.

Answer

Acredito ter visto alguém dizer que alguns desses aplicativos contarão logins de chave com falha como uma tentativa de força bruta. Você tem um agente ssh rodando com chaves? A conexão com esse conjunto oferecerá todas as chaves antes de voltar à senha, e pode ser por isso. Tente definir o nível de log do sshd mais alto e verifique os logs fail2ban/denyhost.

Editar:aquié a fonte original que me avisou, com uma maneira de consertar.

Question 2

por favor revise os seguintes links:

se você quiser descartar toda a ideia do fail2ban e denyhosts, faça como Nathan Powell diz abaixo, mude da porta 22 para algo mais obscuro

também mais algumas ideias:

iptables: o exemplo a seguir irá descartar conexões de entrada que fizerem mais de 2 tentativas de conexão na porta 22 em dez minutos:

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW 
         -m recent --set

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW
         -m recent --update --seconds 60 --hitcount 4 -j DROP

login baseado em chave
aldrava de porta (knockd)

Answer

por favor revise os seguintes links:

se você quiser descartar toda a ideia do fail2ban e denyhosts, faça como Nathan Powell diz abaixo, mude da porta 22 para algo mais obscuro

também mais algumas ideias:

iptables: o exemplo a seguir irá descartar conexões de entrada que fizerem mais de 2 tentativas de conexão na porta 22 em dez minutos:

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW 
         -m recent --set

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW
         -m recent --update --seconds 60 --hitcount 4 -j DROP

login baseado em chave
aldrava de porta (knockd)

Question 3

Se o sshd estiver definido para o nível de registro VERBOSE (ou superior), ele colocará a frase '...Falhou nenhum...' no log do sistema sempre que um usuário efetuar login com sucesso. Por padrão, o fail2ban está configurado para contar isso como uma falha . Resolvi o problema definindo o nível de log do sshd novamente para INFO.

Para obter detalhes, consulte minha resposta a esta perguntafail2ban me bane após uma série de logins *bem-sucedidos*

Answer

Se o sshd estiver definido para o nível de registro VERBOSE (ou superior), ele colocará a frase '...Falhou nenhum...' no log do sistema sempre que um usuário efetuar login com sucesso. Por padrão, o fail2ban está configurado para contar isso como uma falha . Resolvi o problema definindo o nível de log do sshd novamente para INFO.

Para obter detalhes, consulte minha resposta a esta perguntafail2ban me bane após uma série de logins *bem-sucedidos*

Question 4

Se você estiver aberto a voltar ao fail2ban, você sempre poderá usar a ignoreipdiretiva no arquivo jail.conf. Por exemplo:

ignoreip = 127.0.0.1 192.168.1.0/32

Dessa forma, você não será bloqueado com sua digitação desleixada ;-) Isso também significa que as pessoas não podem bloqueá-lo falsificando seu IP (embora com qualquer tráfego TCP isso não seja uma grande preocupação).

Answer

Se você estiver aberto a voltar ao fail2ban, você sempre poderá usar a ignoreipdiretiva no arquivo jail.conf. Por exemplo:

ignoreip = 127.0.0.1 192.168.1.0/32

Dessa forma, você não será bloqueado com sua digitação desleixada ;-) Isso também significa que as pessoas não podem bloqueá-lo falsificando seu IP (embora com qualquer tráfego TCP isso não seja uma grande preocupação).

fail2ban e denyhosts me banem constantemente no Ubuntu

Responder1

Responder2

Responder3

Responder4

informação relacionada