Fail2Ban'da SSH port numarası nasıl değiştirilir?


24

Sunucumda, ssh portu standart 22 değil. Fail2ban kurarsam, bu portu tespit edebilecek mi? 22 numaralı bağlantı noktası yerine bu bağlantı noktasını kontrol etmesini nasıl söyleyebilirim?

Çıktısı iptables -L -v -n:

 Chain fail2ban-ssh (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                         
    0     0 DROP       all  --  *      *       119.235.2.158        0.0.0.0/0                                                                                           
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                           

 Chain fail2ban-ssh-ddos (0 references)
 pkts bytes target     prot opt in     out     source               destination

Hizmet iptables durumunun çıktısı:

iptables: unrecognized service

Summery of fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf:

Summary
=======

Addresses found:
[1]
[2]
[3]
    113.59.222.240 (Wed Mar 21 18:24:47 2012)
    113.59.222.240 (Wed Mar 21 18:24:52 2012)
    119.235.14.153 (Wed Mar 21 21:52:53 2012)
    113.59.222.21 (Thu Mar 22 07:50:44 2012)
    176.9.57.203 (Fri Mar 23 19:34:29 2012)
    176.9.57.203 (Fri Mar 23 19:34:42 2012)
    113.59.222.56 (Sat Mar 31 14:23:52 2012)
    113.59.222.56 (Sat Mar 31 14:24:05 2012)
    119.235.14.183 (Mon Apr 02 20:49:13 2012)
    119.235.14.168 (Sat Apr 21 09:58:56 2012)
    119.235.2.158 (Wed Apr 25 13:11:03 2012)
    119.235.2.158 (Wed Apr 25 13:11:40 2012)
    119.235.2.158 (Wed Apr 25 13:11:43 2012)
    119.235.2.158 (Wed Apr 25 13:11:47 2012)
    119.235.2.158 (Wed Apr 25 13:12:49 2012)
    119.235.2.158 (Wed Apr 25 13:12:52 2012)
    119.235.2.158 (Wed Apr 25 13:12:55 2012)
    119.235.2.158 (Wed Apr 25 13:12:58 2012)
    119.235.2.158 (Wed Apr 25 13:13:02 2012)
    119.235.2.158 (Wed Apr 25 13:13:04 2012)
    119.235.2.158 (Wed Apr 25 13:13:25 2012)
    119.235.2.158 (Wed Apr 25 13:19:18 2012)
    119.235.2.158 (Wed Apr 25 13:19:52 2012)
    119.235.2.158 (Wed Apr 25 13:19:55 2012)
    119.235.2.158 (Wed Apr 25 13:19:55 2012)
    119.235.2.158 (Wed Apr 25 13:19:58 2012)
    119.235.2.158 (Wed Apr 25 13:20:02 2012)
    119.235.2.158 (Wed Apr 25 13:20:05 2012)
    119.235.2.158 (Wed Apr 25 13:40:16 2012)
[4]
[5]
    119.235.2.158 (Wed Apr 25 13:11:38 2012)
    119.235.2.158 (Wed Apr 25 13:12:46 2012)
    119.235.2.158 (Wed Apr 25 13:19:49 2012)
[6]
    119.235.2.155 (Wed Mar 21 13:13:30 2012)
    113.59.222.240 (Wed Mar 21 18:24:43 2012)
    119.235.14.153 (Wed Mar 21 21:52:51 2012)
    176.9.57.203 (Fri Mar 23 19:34:26 2012)
    119.235.2.158 (Wed Apr 25 13:19:15 2012)
[7]
[8]
[9]
[10]

Date template hits:
1169837 hit(s): MONTH Day Hour:Minute:Second
0 hit(s): WEEKDAY MONTH Day Hour:Minute:Second Year
0 hit(s): WEEKDAY MONTH Day Hour:Minute:Second
0 hit(s): Year/Month/Day Hour:Minute:Second
0 hit(s): Day/Month/Year Hour:Minute:Second
0 hit(s): Day/Month/Year Hour:Minute:Second
0 hit(s): Day/MONTH/Year:Hour:Minute:Second
0 hit(s): Month/Day/Year:Hour:Minute:Second
0 hit(s): Year-Month-Day Hour:Minute:Second
0 hit(s): Day-MONTH-Year Hour:Minute:Second[.Millisecond]
0 hit(s): Day-Month-Year Hour:Minute:Second
0 hit(s): TAI64N
0 hit(s): Epoch
0 hit(s): ISO 8601
0 hit(s): Hour:Minute:Second
0 hit(s): <Month/Day/Year@Hour:Minute:Second>

Success, the total number of match is 37

However, look at the above section 'Running tests' which could contain important
information.

jail.conf:

    # Fail2Ban configuration file.
#
# This file was composed for Debian systems from the original one
#  provided now under /usr/share/doc/fail2ban/examples/jail.conf
#  for additional examples.
#
# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
#
# Author: Yaroslav O. Halchenko <debian@onerussian.com>
#
# $Revision: 281 $
#

# The DEFAULT allows a global definition of the options. They can be override
# in each jail afterwards.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime  = 14400
maxretry = 3

# "backend" specifies the backend used to get files modification. Available
# options are "gamin", "polling" and "auto".
# yoh: For some reason Debian shipped python-gamin didn't work as expected
#      This issue left ToDo, so polling is default backend for now
backend = polling

#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = root@localhost

#
# ACTIONS
#

# Default banning action (e.g. iptables, iptables-new,
# iptables-multiport, shorewall, etc) It is used to define 
# action_* variables. Can be overriden globally or per 
# section within jail.local file
banaction = iptables-multiport

# email action. Since 0.8.1 upstream fail2ban uses sendmail
# MTA for the mailing. Change mta configuration parameter to mail
# if you want to revert to conventional 'mail'.
mta = sendmail

# Default protocol
protocol = tcp

#
# Action shortcuts. To be used to define action parameter

# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]

# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
              %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s]

# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
               %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s]

# Choose default action.  To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section 
action = %(action_)s

#
# JAILS
#

# Next jails corresponds to the standard configuration in Fail2ban 0.6 which
# was shipped in Debian. Enable any defined here jail by including
#
# [SECTION_NAME] 
# enabled = true

#
# in /etc/fail2ban/jail.local.
#
# Optionally you may override any other parameter (e.g. banaction,
# action, port, logpath, etc) in that section within jail.local

[ssh]

enabled = true
port    = ssh
filter  = sshd
logpath  = /var/log/auth.log
maxretry = 4

# Generic filter for pam. Has to be used with action which bans all ports
# such as iptables-allports, shorewall
[pam-generic]

enabled = false
# pam-generic filter can be customized to monitor specific subset of 'tty's
filter  = pam-generic
# port actually must be irrelevant but lets leave it all for some possible uses
port = all
banaction = iptables-allports
port     = anyport
logpath  = /var/log/auth.log
maxretry = 6

[xinetd-fail]

enabled   = false
filter    = xinetd-fail
port      = all
banaction = iptables-multiport-log
logpath   = /var/log/daemon.log
maxretry  = 2


[ssh-ddos]

enabled = true
port    = ssh
filter  = sshd-ddos
logpath  = /var/log/auth.log
maxretry = 6

#
# HTTP servers
#

[apache]

enabled = false
port    = http,https
filter  = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 6

# default action is now multiport, so apache-multiport jail was left
# for compatibility with previous (<0.7.6-2) releases
[apache-multiport]

enabled   = false
port      = http,https
filter    = apache-auth
logpath   = /var/log/apache*/*error.log
maxretry  = 6

[apache-noscript]

enabled = false
port    = http,https
filter  = apache-noscript
logpath = /var/log/apache*/*error.log
maxretry = 6

[apache-overflows]

enabled = false
port    = http,https
filter  = apache-overflows
logpath = /var/log/apache*/*error.log
maxretry = 2

 [nginx-auth]
 enabled = true
 filter = nginx-auth
 action = iptables-multiport[name=NoAuthFailures, port="http,https"]
 logpath = /var/log/nginx*/*error*.log
 bantime = 600 # 10 minutes
 maxretry = 6

 [nginx-login]
 enabled = true
 filter = nginx-login
 action = iptables-multiport[name=NoLoginFailures, port="http,https"]
 logpath = /var/log/nginx*/*access*.log
 bantime = 600 # 10 minutes
 maxretry = 6

 [nginx-badbots]
 enabled  = true
 filter = apache-badbots
 action = iptables-multiport[name=BadBots, port="http,https"]
 logpath = /var/log/nginx*/*access*.log
 bantime = 86400 # 1 day
 maxretry = 1

 [nginx-noscript]
 enabled = true
 action = iptables-multiport[name=NoScript, port="http,https"]
 filter = nginx-noscript
 logpath = /var/log/nginx*/*access*.log
 maxretry = 6
 bantime  = 86400 # 1 day

 [nginx-proxy]
 enabled = true
 action = iptables-multiport[name=NoProxy, port="http,https"]
 filter = nginx-proxy
 logpath = /var/log/nginx*/*access*.log
 maxretry = 0
 bantime  = 86400 # 1 day


#
# FTP servers
#

[vsftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = vsftpd
logpath  = /var/log/vsftpd.log
# or overwrite it in jails.local to be
# logpath = /var/log/auth.log
# if you want to rely on PAM failed login attempts
# vsftpd's failregex should match both of those formats
maxretry = 6


[proftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = proftpd
logpath  = /var/log/proftpd/proftpd.log
maxretry = 6


[wuftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = wuftpd
logpath  = /var/log/auth.log
maxretry = 6


#
# Mail servers
#

[postfix]

enabled  = false
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log


[couriersmtp]

enabled  = false
port     = smtp,ssmtp
filter   = couriersmtp
logpath  = /var/log/mail.log


#
# Mail servers authenticators: might be used for smtp,ftp,imap servers, so
# all relevant ports get banned
#

[courierauth]

enabled  = false
port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = courierlogin
logpath  = /var/log/mail.log


[sasl]

enabled  = false
port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = sasl
# You might consider monitoring /var/log/warn.log instead
# if you are running postfix. See http://bugs.debian.org/507990
logpath  = /var/log/mail.log


# DNS Servers


# These jails block attacks against named (bind9). By default, logging is off
# with bind9 installation. You will need something like this:
#
# logging {
#     channel security_file {
#         file "/var/log/named/security.log" versions 3 size 30m;
#         severity dynamic;
#         print-time yes;
#     };
#     category security {
#         security_file;
#     };
# };
#
# in your named.conf to provide proper logging

# !!! WARNING !!!
#   Since UDP is connectionless protocol, spoofing of IP and immitation
#   of illegal actions is way too simple.  Thus enabling of this filter
#   might provide an easy way for implementing a DoS against a chosen
#   victim. See
#    http://nion.modprobe.de/blog/archives/690-fail2ban-+-dns-fail.html
#   Please DO NOT USE this jail unless you know what you are doing.
#[named-refused-udp]
#
#enabled  = false
#port     = domain,953
#protocol = udp
#filter   = named-refused
#logpath  = /var/log/named/security.log

[named-refused-tcp]

enabled  = false
port     = domain,953
protocol = tcp
filter   = named-refused
logpath  = /var/log/named/security.log

Sadece bir hata gördüm fail2ban log:

2012-04-25 14: 57: 29,359 fail2ban.actions.action: ERROR iptables -N fail2ban-ssh-ddos


İŞLETİM SİSTEMİ? CentOS / Ubuntu / ...? Çıktı/etc/init.d/iptables status
Bart De Vos

@BartDeVos OS Ubuntu 11.04 ... "/etc/init.d/iptables status" = bash: /etc/init.d/iptables: Böyle bir dosya veya dizin yok ... Not: IPtables'ı yönetmek için APF kullanıyorum!
THpubs

Muhtemelen senin sorunun var. Apf'yi devre dışı bırakmaya, iptables ile temel bir güvenlik duvarı kurmaya ve sorunun devam edip etmediğine bakmaya ne dersiniz?
Bart De Vos

@BartDeVos Sorun bu ... Bir VPS sistemindeyim ... Sanırım onun açık olduğunu ... UFW gibi bazı güvenlik duvarları burada çalışmayacak!
THpubs

Kaçabilir ufw enablemisin?
Bart De Vos

Yanıtlar:


22

Fail2Ban dosyayı kullanır /etc/fail2ban/jail.localve [ssh]bölümü arar , oradaki portu değiştirebilirsiniz.

[ssh]
enabled  = true
port     = ssh

Değişebilirsin portherhangi bir pozitif tamsayı değeri.

Çalışmıyorsa ve daha fazla bakmak istiyorsanız, bir göz atın /etc/fail2ban/jail.conf, şöyle bir şey olmalı:

 logpath = /var/log/auth.log

Fail2ban'ın yanlış girişleri tespit etmek için kullandığı şey budur.

Doğru çalışmıyorsa, sorunu tespit etmek için birkaç şey deneyebilirsiniz. Yüklü olup olmadığını kontrol ederek başlayın:

dpkg -l |grep fail   

Hizmetin çalışıp çalışmadığını kontrol edin:

/etc/init.d/fail2ban status 

SSH-hapishanenizin kurulup kurulmadığını kontrol edin:

sudo fail2ban-client status  

Günlük dosyasını kontrol edin:

fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf

Tarih / saatinizi kontrol edin:

date && tail -2 /var/log/auth.log

(Önce tarihi ve ardından son satırları auth.loggirmelisiniz. Hatayı hala belirleyemiyorsanız, yapılandırma dosyanızı yayınınıza ekleyin.


Çalışıyor gibi görünmüyor ... Başarısız girişlerimi engellemiyor!
THpubs

1
Kayıtlar IP adresimin engellendiğini gösteriyor ... Ama hala giriş yapabilirim!
12'de

iptables -L -v -nVe / veyaservice iptables status
Bart De Vos

Soruya çıktılar ekledim ... lütfen kontrol edin ...
THpubs

8
Bu cevap yanıltıcıdır. Fail2ban algılama için ssh portunu önemsemese de, sadece standart (yani yanlış) portu (22) engeller, böylece kötü niyetli kullanıcı standart dışı portlara bağlanmaya devam edebilir. Bu cevap , engellenen bağlantı noktasını değiştirmeyle ilgili ayrıntılara sahiptir.
don

35

fail2ban, log içeriğine sahip oturum açma eylemlerini algılar. fail2ban tespit etmek için port kullanmaz, sadece bloke eder.
Doğru portu bloke etmek için, iptable'ın doğru şekilde kurulabilmesi için fail2'ye söylemeniz gerekir.
İçine /etc/fail2ban/jail.local:

[ssh]
enabled  = true
port     = ssh   <-- just modify this with your port    port = 1234

Başka bir yöntem, rahatsız eden ana bilgisayarlardan gelen her şeyi engellemektir. Dolayısıyla iptable, yalnızca ssh olanları değil, onlardan her paçeti bırakacaktır.
Başında /etc/fail2ban/jail.local:

banaction = iptables-multiport     <-- regular blocking (one or several ports)
banaction = iptables-allports      <-- block everything

İle iptables-allportssizinle bağlantı noktaları hakkında rahatsız etmek gerekmez. Sadece varsayılanları bırakın.


Harika ... bir dereceye kadar çalışıyor .. Ama sadece fail2ban günlüğünde bir hata fark ettim: "2012-04-25 14: 57: 29,359 fail2ban.actions.action: ERROR iptables -N fail2ban-ssh-ddos" giriş yapmazsam beni engellemez ... Sadece gerçekten hızlı yaparsam beni engeller. Şifrenin yanlış olduğunu söylemek için SSH'ye kadar beklersem, beni engellemez!
THpubs

2
Korkarım doktoru okumak zorundasın. Fail2ban engellenmeden önce deneme sayısını ayarlamak için parametrelere sahiptir.
Gregory MOUSSAT

7

Kısacası: Eğer ssh port numarasını değiştirdiyseniz, jail.localdosyaya IT eklemek zorundasınız !

Örneğin: (Bağlantı noktası 1234'te SSH, SFTP kullanıyorum)

içinde jail.local:

[ssh]

enabled  = true

port     = ssh,sftp,1234

filter   = sshd

logpath  = /var/log/auth.log

maxretry = 6

Teşekkürler, beklendiği gibi çalıştı, sadece logpath'i / var / log / secure'e değiştirmek gerekiyordu
AMB

0

Bunun kesinlikle soruyu cevaplamadığını biliyorum, ama yine de ...

Sorunu çözmenin başka bir yolu olarak, standart bağlantı noktalarını sunucu yapılandırmanızda tutmayı ve ardından NAT'ı yönlendiricinizde tutmayı düşünebilirsiniz.

Örneğin, kurulumumda ssh için dışardan standart port kullanmıyorum, fakat sunucu yapılandırmam ssh için standart (ftp, vpn vb. İçin olduğu gibi) de standart. Onları standart bağlantı noktasına yönlendirin.

Bunu yapmanın yolu, kurulumumu yapılandırırken bana zaman kazandırıyor.


0

Bunun eski bir konu olduğunu biliyorum ama bu konuyla ilgili bir google aramasında ortaya çıkan şey. Kimsenin en doğru cevabı verdiğini görmedim (imo) yani işte burada.

Linux adındaki port tanımını global olarak değiştirmek için /etc/services

ssh             22/tcp
ssh             22/udp

Fail2ban yapılandırmasında veya Linux adlı portları kullanan başka bir uygulamada herhangi bir şeyi değiştirmenize gerek yoktur.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.