@gto6120

Почему не работает fail2ban?

Добрый день. Centos7, firewalld, fail2ban ((

jail.local
[DEFAULT]
findtime  = 3600
[sshd]
enabled = true
port = ssh
maxretry = 3
action = firewallcmd-ipset


При выставлении bantime = x, x игнорируется, банятся все равно на 600 секунд как по дефолту.

А еще я не понимаю, где искать полный список забаненных. По идее при использовании action = firewallcmd-ipset, проверка должна быть такой: ipset --list, и там иногда есть несколько адресов, но при этом в логе secure присутствуют строки:

2016-11-23 13:52:05,603 fail2ban.filter         [31078]: INFO    [sshd] Found 221.229.172.103
2016-11-23 13:52:05,706 fail2ban.filter         [31078]: INFO    [sshd] Found 221.229.172.103
2016-11-23 13:52:06,122 fail2ban.actions        [31078]: NOTICE  [sshd] 221.229.172.103 already banned
2016-11-23 13:52:06,706 fail2ban.filter         [31078]: INFO    [sshd] Found 221.229.172.103
2016-11-23 13:52:07,259 fail2ban.filter         [31078]: INFO    [sshd] Found 221.229.172.103
2016-11-23 13:52:07,285 fail2ban.filter         [31078]: INFO    [sshd] Found 221.229.172.103
2016-11-23 13:52:07,484 fail2ban.filter         [31078]: INFO    [sshd] Found 221.229.172.103
2016-11-23 13:52:08,125 fail2ban.actions        [31078]: NOTICE  [sshd] 221.229.172.103 already banned
2016-11-23 13:52:08,885 fail2ban.filter         [31078]: INFO    [sshd] Found 221.229.172.103
2016-11-23 13:52:09,127 fail2ban.actions        [31078]: NOTICE  [sshd] 221.229.172.103 already banned
2016-11-23 13:52:12,242 fail2ban.filter         [31078]: INFO    [sshd] Found 221.229.172.103
2016-11-23 13:52:44,789 fail2ban.filter         [31078]: INFO    [sshd] Found 221.229.172.103
2016-11-23 13:52:45,371 fail2ban.filter         [31078]: INFO    [sshd] Found 221.229.172.103
2016-11-23 13:52:46,174 fail2ban.actions        [31078]: NOTICE  [sshd] 221.229.172.103 already banned


за тот же период времени, что говорит, что адрес 221.229.172.103 должен был быть забанен, но нет, его в списке не видно.
  • Вопрос задан
  • 1642 просмотра
Пригласить эксперта
Ответы на вопрос 2
@gto6120 Автор вопроса
Решил проблему просто - сделал авторизацию по ключу, а доступ по паролю для ssh закрыл наглухо. (предварительно уточнив у тех. поддержки возможность восстановления доступа в случае утери ключа и распихав оный по всем доступным носителям). А fail2ban отправил в бан.
Ответ написан
Комментировать
@apokin
Веб-разработчик
Тоже возник вопрос с этим. CentOS 7. Решил следующим образом.
Добавил в папку /etc/fail2ban файл jail.loc
[DEFAULT]
##, <здесь можно написать свой ip>
ignoreip = 127.0.0.1/8 

[sshd]
findtime  = 3600
maxretry    = 3
##имеется максимально возможное значение!
bantime  = 86400 

enabled = true

##это корень зол
action = iptables  
## по крайней мере у меня 
##через firewalld подавались неправильные команды
##(их можно настроить в файлах папки action.d, 
##но не стал с этим заморачиваться)

Обратите внимание на action.
У меня ip банятся и видны командой iptables -L -n -v
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы