web-dev-qa-db-ja.com

fail2banが失敗をブロックしないのはなぜですか?

以下は、fail2banログの出力です。これ以上何も表示されませんが、auth.logで、rootユーザーのログインに何百もの失敗が見られます(誰かが悪いお尻のブルートフォーシングです)。

2011-07-06 01:48:16,249 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.3
2011-07-06 01:48:16,250 fail2ban.jail   : INFO   Creating new jail 'ssh'
2011-07-06 01:48:16,250 fail2ban.jail   : INFO   Jail 'ssh' uses poller
2011-07-06 01:48:16,251 fail2ban.filter : INFO   Added logfile = /var/log/auth.log
2011-07-06 01:48:16,252 fail2ban.filter : INFO   Set maxRetry = 3
2011-07-06 01:48:16,253 fail2ban.filter : INFO   Set findtime = 600
2011-07-06 01:48:16,253 fail2ban.actions: INFO   Set banTime = 600
2011-07-06 01:48:16,329 fail2ban.jail   : INFO   Jail 'ssh' started

なぜそれが彼らをブロックしないのですか?構成は何も変更していません(maxRetryを除く)。LinuxDebianLennyにインストールしただけで起動しましたが、誰もブロックしていません。 :/
これを修正するにはどうすればよいですか?

私はいくつかの攻撃を共有することができます:

Jul  6 01:02:24 tornado sshd[19768]: Failed password for root from 200.63.212.41 port 43457 ssh2
Jul  6 01:02:26 tornado sshd[19771]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=www.gamavision.com  user=root
Jul  6 01:02:27 tornado sshd[19771]: Failed password for root from 200.63.212.41 port 43565 ssh2
Jul  6 01:02:29 tornado sshd[19773]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=www.gamavision.com  user=root
Jul  6 01:02:31 tornado sshd[19773]: Failed password for root from 200.63.212.41 port 43662 ssh2
Jul  6 01:02:32 tornado sshd[19775]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=www.gamavision.com  user=root

ちなみに、私が見ているように、サーバー時間が1時間ずれているということは変わりますか? ; D

編集:

Status for the jail: ssh
|- filter
|  |- File list:        /var/log/auth.log
|  |- Currently failed: 0
|  `- Total failed:     0
`- action
   |- Currently banned: 0
   |  `- IP list:
   `- Total banned:     0

Auth.logにfail2banをインストールする前に、次のような行に気づきました。

reverse mapping checking getaddrinfo for server1.intensevps.com [94.75.242.39] failed - POSSIBLE BREAK-IN ATTEMPT!

Fail2banが他の何かと競合している可能性がありますか?物事の中断の可能性を検出したものが何であるかはわかりません。これで、fail2banがインストールされると、何も検出されなくなります。

debiandebian-lennyfail2banbrute-force-attacks
2
Rihards

私はまったく同じ問題を抱えていました。実際、時間は同期していませんでした。

dpkg-reconfigure tzdata
cp /usr/share/zoneinfo/Europe/Paris /etc/localtime
vim /etc/rsyslog.conf
#see all messages
$RepeatedMsgReduction off
service rsyslog restart
5
Kenton

「logpath」を「/ var/log/secure」に設定してみてください。

0
Max

それが正しく機能するためには、禁止の失敗を有効にする必要があります。 「servicefail2banstart」を実行するだけです

0
Al Katawazi