centos8 fail2ban não funciona

Question 1

Se você estiver realmente usando o firewalld, certifique-se de usar um firewall compatível, banactioncomo firewallcmd-ipset.

Answer

Se você estiver realmente usando o firewalld, certifique-se de usar um firewall compatível, banactioncomo firewallcmd-ipset.

Question 2

Sua configuração parece boa, especialmente se você estiver vendo o ip listado na saída do fail2ban-client status sshd.

Como você está verificando se o ip foi banido? É assim que verifico em um sistema de minha responsabilidade com ip banido.

            iptables -L f2b-sshd
Chain f2b-sshd (1 references)
target     prot opt source               destination         
REJECT     all  --  120.29.125.240       anywhere             reject-with icmp-port-unreachable
RETURN     all  --  anywhere             anywhere

Se não estiver listado lá, será que está sendo banido e desbanido muito rapidamente? Eu sei que sua configuração está definida para 6 horas, o que deve ser longo o suficiente.

Caso contrário, você também pode verificar /var/log/fail2ban.log em busca de atividades que possam ser relevantes. Por exemplo:

2020-12-04 09:17:07,590 fail2ban.filter         [9089]: INFO    [sshd] Found 120.29.125.240
2020-12-04 09:17:09,883 fail2ban.filter         [9089]: INFO    [sshd] Found 120.29.125.240
2020-12-04 09:17:12,163 fail2ban.filter         [9089]: INFO    [sshd] Found 120.29.125.240
2020-12-04 09:17:14,381 fail2ban.filter         [9089]: INFO    [sshd] Found 120.29.125.240
2020-12-04 09:17:16,874 fail2ban.filter         [9089]: INFO    [sshd] Found 120.29.125.240
2020-12-04 09:17:17,805 fail2ban.actions        [9089]: NOTICE  [sshd] Ban 120.29.125.240

Answer

Sua configuração parece boa, especialmente se você estiver vendo o ip listado na saída do fail2ban-client status sshd.

Como você está verificando se o ip foi banido? É assim que verifico em um sistema de minha responsabilidade com ip banido.

            iptables -L f2b-sshd
Chain f2b-sshd (1 references)
target     prot opt source               destination         
REJECT     all  --  120.29.125.240       anywhere             reject-with icmp-port-unreachable
RETURN     all  --  anywhere             anywhere

Se não estiver listado lá, será que está sendo banido e desbanido muito rapidamente? Eu sei que sua configuração está definida para 6 horas, o que deve ser longo o suficiente.

Caso contrário, você também pode verificar /var/log/fail2ban.log em busca de atividades que possam ser relevantes. Por exemplo:

2020-12-04 09:17:07,590 fail2ban.filter         [9089]: INFO    [sshd] Found 120.29.125.240
2020-12-04 09:17:09,883 fail2ban.filter         [9089]: INFO    [sshd] Found 120.29.125.240
2020-12-04 09:17:12,163 fail2ban.filter         [9089]: INFO    [sshd] Found 120.29.125.240
2020-12-04 09:17:14,381 fail2ban.filter         [9089]: INFO    [sshd] Found 120.29.125.240
2020-12-04 09:17:16,874 fail2ban.filter         [9089]: INFO    [sshd] Found 120.29.125.240
2020-12-04 09:17:17,805 fail2ban.actions        [9089]: NOTICE  [sshd] Ban 120.29.125.240

centos8 fail2ban não funciona

Responder1

Responder2

informação relacionada