Fail2ban günlüğü, "fail2ban.filter: UYARI DNS Araması kullanılarak belirlenen IP: .."

12

Fail2ban günlüğüm /var/log/fail2ban.logtamamen aşağıdaki girişlerle dolu:

fail2ban.filter : WARNING Determined IP using DNS Lookup: [IP address]

Sanırım ssh portumu değiştirdikten sonra başlamış olabilir ...

Bunun sebebinin ne olduğu ve nasıl durdurulacağı hakkında bir fikrin var mı?

— Dirk Calloway
kaynak

10

Aynı sorun vardı.

Basit çözüm: En üst kısmında aşağıdaki satırı ekleyin /etc/fail2ban/jail.confiçinde, dosyanın [DEFAULT]bölümünde

usedns = no

Günlük dosyanızın neden uyarılarla dolduğunu anlamak için , Fail2Ban wiki'sindeki aşağıdaki sayfaya bakın . Temel olarak, saldırı IP'lerinin PTR kaydını manipüle etmek, günlüklerinize yanlış değerler enjekte etmek.

— qux
kaynak

1

Kullanıcılar ana bilgisayar adı kökenleri için giriş denemeleri yaparsa (bu durumda ana makine adları yok sayılacağı için) saldırı olasılığını açmaz mı? Belki belgeleri yanlış okudum, ama bu kötü bir fikir olabilir gibi görünüyor.

— Quinn Comendant

2

Ayrıca, belgelerde çözüm, tüm hizmetleri ters DNS aramaları yapmayacak ve bunun yerine yalnızca IP adreslerini kaydedecek şekilde ayarlamaktır . Fail2ban ( DNS Lookup kullanarak belirlenen IP) tarafından verilen uyarı , bazı hizmetlerin ana bilgisayar adlarını günlüğe kaydettiğini gösterir. En iyi çözüm, hangi hizmetin olduğunu belirlemek ve DNS aramalarını devre dışı bırakmaktır. Ayar usedns = no, uyarıları durdurur ve sahte PTR ağlarının engellenmesini önler, ancak ana bilgisayar adlarını günlüğe alan hizmeti fail2ban tarafından tamamen korumasız bırakır.

— Quinn Comendant

2

[IP adresinin] PTR kaydını kontrol edin ve çözülen adı orijinal IP adresiyle karşılaştırın, yani

drill -x ip_address or dig -x ip_address or host ip_address

Ardından sonucu şununla karşılaştırın:

drill result or dig result or host result

Aynı olmalı. Değilse - saldırgan PTR'yi değiştirdi. Sen değiştirebilir usedns"hayır" veya "uyarmak" için yönergeyi jail.conf.

— plluksie
kaynak