Статейка про Fail2ban

gonzo111

Шпаргалка по установке (были небольшие траблы) дабы не забыть как делал

http://www.lissyara.su/articles/freebsd ... /fail2ban/

навеяно из другой темы
спасибо mediamag идею

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Alex Keda

а дескрипшены писать так и не научился...

gonzo111

тут их пока вообще нет

а в прошлых статьях были нормальные дискрипшенны, если тебе что-то не подходит, по твоему мнению, то я попросил самомому подправить как тебе нравится, ты проигнорил, неужели было сложно

или тут народ каждый месяц новую статью клепает

Alex Keda

если ты начал дело - его надо закончить.
после написания двух-трёх страниц текста, так сложно набить осмысленно 150-200 символов?
у тебя же полтинник от силы, и тот в такой форме, что видно - через силу выдавил

)

gonzo111 · Непрочитанное сообщение **gonzo111** » 2010-11-04 1:17:02

я обновил статью жмите F5 в браузере
добавил апачь

и сделал читабельней текст

gonzo111

thefree · Непрочитанное сообщение **thefree** » 2010-11-04 16:12:30

сам использую ее, но довольно тормозная штука ...

gonzo111

а есть альтернативы?

http://www.fail2ban.org/wiki/index.php/ ... ction_time
дык в мане об этом честно указано
можно банить не спеша задумываясь о смысле жизни

главное что проц не грузило

eem-kz · Непрочитанное сообщение **eem-kz** » 2010-12-08 17:31:32

Код: Выделить всё

2010-12-08 20:17:52,594 fail2ban.actions: WARNING [exim-ipfw] Ban 116.111.153.131
2010-12-08 20:18:05,956 fail2ban.actions: WARNING [exim-ipfw] Ban 123.18.185.202
2010-12-08 20:18:10,078 fail2ban.actions: WARNING [exim-ipfw] Ban 123.18.240.231
2010-12-08 20:18:33,737 fail2ban.actions: WARNING [exim-ipfw] Ban 94.189.237.243
2010-12-08 20:19:40,630 fail2ban.actions: WARNING [exim-ipfw] Ban 118.71.28.162
2010-12-08 20:19:49,895 fail2ban.actions: WARNING [exim-ipfw] 123.18.185.202 already banned
2010-12-08 20:21:21,480 fail2ban.actions: WARNING [exim-ipfw] Ban 118.68.110.201
2010-12-08 20:22:27,343 fail2ban.actions: WARNING [exim-ipfw] 123.18.185.202 already banned
2010-12-08 20:22:36,602 fail2ban.actions: WARNING [exim-ipfw] Ban 180.242.62.71
2010-12-08 20:25:21,246 fail2ban.actions: WARNING [exim-ipfw] Ban 187.24.149.37

а, ipfw показывает

Код: Выделить всё

[b]ipfw table 50 list[/b]
94.189.237.243/32 0
116.111.153.131/32 0
118.68.110.201/32 0
118.71.28.162/32 0
123.18.185.202/32 0
123.18.240.231/32 0
180.242.62.71/32 0
187.24.149.37/32 0

ipfw show показывает

Код: Выделить всё

01400    92    17744 deny tcp from table(50) to me dst-port 25 via bce1

Почему пишет already banned?

Vizunchikk

тоже заметил в логах

Код: Выделить всё

2012-02-04 12:55:30,236 fail2ban.actions: WARNING [apache_jail-ipfw] Ban 136.169.199.40
2012-02-04 12:57:59,489 fail2ban.actions: WARNING [apache_jail-ipfw] 136.169.199.40 already banned
2012-02-04 12:58:51,550 fail2ban.actions: WARNING [apache_jail-ipfw] 136.169.199.40 already banned
2012-02-04 12:59:23,596 fail2ban.actions: WARNING [apache_jail-ipfw] 136.169.199.40 already banned
2012-02-04 13:02:24,058 fail2ban.actions: WARNING [apache_jail-ipfw] 136.169.199.40 already banned
2012-02-04 20:55:30,534 fail2ban.actions: WARNING [apache_jail-ipfw] Unban 136.169.199.40

нормально ли это вроде как бан дан но всё ровно повторяется Ban 136.169.199.40 , 136.169.199.40 already banned

lexxai · Непрочитанное сообщение **lexxai** » 2012-10-11 1:13:57

Вот добавил в FreeBSD моментальную "рубилку", текущих сессий почтовика.
после команд добавления в таблицу фаервола адресса.

/usr/sbin/tcpdrop -la | /usr/bin/egrep ' (25|465|110|995) <ip>' |/bin/sh

zubrizavr

Салют!
В логе наблюдаем следующее:
<<< [17:47:32] Warning: /rcon command exploit from: 15:178.65.58.100:3260
в failregex добавлял:
[/s/d]* Warning: /rcon command exploit from:[\d\s]*:<HOST>:[\d]*
и
[/s/d]* Warning: /rcon command exploit from:...:<HOST>:[\d]*
и
<<<\s\[.*\]\sWarning:\s/rcon [\w\s]*:[\d\s]*:<HOST>:[\d]*

вобщем пробовал разные варианты, но ответ почему то всегда один
http://gyazo.com/45ba775f50dcc7ffcead838a1bfb5860

nezabor · Непрочитанное сообщение **nezabor** » 2012-12-09 8:16:43

А вот у мну вопрос например например забанил я хорошего человека(руки у него кривые, но без злого умысла), за неправильный набор имени и как теперь убрать его из бана в ручную может есть у кого предлдожение

на всяк случай Ubuntu 12.* и для FreeBSD

lexxai · Непрочитанное сообщение **lexxai** » 2012-12-11 13:36:46

nezabor писал(а):А вот у мну вопрос например например забанил я хорошего человека(руки у него кривые, но без злого умысла), за неправильный набор имени и как теперь убрать его из бана в ручную может есть у кого предлдожение
на всяк случай Ubuntu 12.* и для FreeBSD

Так как результатом работы Fail2ban будет правило для занесения адреса в правило блокировки firewall, то
просто удалить из правил firewall данный адрес, и внести его в белый список. ignoreip = ...
Если freebsd - pf: /sbin/pfctl -t fail2ban -T delete <ip>/32
Если freebsd - ipfw без таблиц: ipfw delete `ipfw list | grep -i <ip> | awk '{print $1;}'`
Если freebsd - ipfw с таблицей: /sbin/ipfw table 99 delete <ip>
где 99 номер таблицы для Fail2ban
<ip> - нужный IP.

andryu · Непрочитанное сообщение **andryu** » 2012-12-26 22:11:46

Подскажите пожалуйста, как к fail2ban подключить exim у которого лог файлы имеют вид mainlog-дата.log и каждый день меняются. Никак в интернете не могу найти подобного решения. Как я понял fail2ban начинает мониторить лог в момент запуска, и потом уже новый(другой) лог ему не подсунуть.

goodsmileduck

Прошу помощи.
Вообщем появилась такая проблема после установки, regex отрабатывает по логам а записи в ipfw не добавляются
Вот конфиги:

jail.d/exim.conf

Код: Выделить всё

[exim]
      2
      3 #port   = smtp,465,submission
      4 #logpath = /var/log/exim/mainlog
      5
      6 enabled = true
      7 filter = exim
      8 action = exim-ipfw[table=50]
      9 #sendmail[name=exim-spam-dnsbl, dest=admin@domenchik.ru sender=fail2ban@domenchik.ru]
     10 logpath = /var/log/exim/domenchik.ru/exim_reject-20140625
     11 maxretry = 2
     12 bantime = 18000

filter.d/exim.conf

Код: Выделить всё

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# exim-common.local
before = exim-common.conf

[Definition]

failregex =  authenticator failed for (\S+ )?\(\S+\) \[<HOST>\] (I=\[\S+\]:\d+): 535 Incorrect authentication data


ignoreregex =.

action.d/exim-ipfw.conf

Код: Выделить всё

[Definition]
actionstart =
actionstop =
actioncheck =
actionban = /sbin/ipfw table <table> add <ip>
actionunban = /sbin/ipfw table <table> delete <ip>
[Init]
localhost = 127.0.0.1

Проверяем наш фильтр по логу

Код: Выделить всё

  fail2ban-regex /var/log/exim/domenchik.ru/exim_reject-20140625 /usr/local/etc/fail2ban/filter.d/exim.conf

Running tests
=============

Use   failregex file : /usr/local/etc/fail2ban/filter.d/exim.conf
Use      single line : /var/log/exim/domenchik.ru/exim_reject-20140625


Results
=======

Failregex: 0 total

Ignoreregex: 0 total

Date template hits:

Lines: 1 lines, 0 ignored, 0 matched, 1 missed
|- Missed line(s):
|  /var/log/exim/domenchik.ru/exim_reject-20140625
`-

ну и для полной картины правила в ipfw

Код: Выделить всё

exim_ban_table="table(50)"
${ipfw} -f flush
${ipfw} add 10 deny tcp from ${exim_ban_table} to me 25

что видно в логах fail2ban с включенным loglevel = DEBUG
сначала смотрии exim_reject

Код: Выделить всё

2014-06-25 00:57:43  auth_login authenticator failed for (User) [50.57.186.49] I=[91.185.48.163]:25: 535 Incorrect authentication data (set_id=admin)
2014-06-25 00:57:43  auth_login authenticator failed for (User) [50.57.186.49] I=[91.185.48.163]:25: 535 Incorrect authentication data (set_id=admin)

а в логах fail2ban

Код: Выделить всё

2014-06-25 00:57:43,747 fail2ban.server.filterpoll[66537]: DEBUG   /var/log/maillog has been modified
2014-06-25 00:57:43,747 fail2ban.server.datedetector[66537]: DEBUG   Matched time template (?:DAY )?MON Day 24hour:Minute:Second(?:\.Microseconds)?(?: Year)?
2014-06-25 00:57:43,748 fail2ban.server.datedetector[66537]: DEBUG   Got time 1403625463.000000 for "u'Jun 25 00:57:43'" using template (?:DAY )?MON Day 24hour:Minute:Second(?:\.Microseconds)?(?: Year)?
2014-06-25 00:57:43,748 fail2ban.server.filter[66537]: DEBUG   Processing line with time:1403625463.0 and ip:50.57.186.49

В итоге в таблицу 50 ничего не добавляется.
Есть подозрения что f2b не нравится время в логах, мол оно не соотносится с его временем( не знаю откуда его он берет), если что у меня utc+9 и в логах правильное местное время отображается.

Код: Выделить всё

pkg info py27-fail2ban
py27-fail2ban-0.9.0_2
Name           : py27-fail2ban
Version        : 0.9.0_2
Installed on   : Sun Jun 22 03:30:11 IRKT 2014
Origin         : security/py-fail2ban
Architecture   : freebsd:10:x86:64
Prefix         : /usr/local
Categories     : security python
Licenses       : GPLv2
Maintainer     : theis@gmx.at
WWW            : http://www.fail2ban.org/wiki/index.php/Main_Page
Comment        : Scans log files and bans IP that makes too many password failures
Flat size      : 737KiB
Description    :
Fail2ban scans log files like /var/log/pwdfail or /var/log/apache/error_log
and bans IP that makes too many password failures. It updates firewall rules
to reject the IP address.
uname -a
FreeBSD 10.0-RELEASE FreeBSD 10.0-RELEASE #0 r260789: Thu Jan 16 22:34:59 UTC 2014

Кстати не использую action bsd-ipfw по причине этого бага -> https://github.com/fail2ban/fail2ban/issues/713, который вроде пофиксили, но не ясно когда свежая версия будет в портах.

risk94 · Непрочитанное сообщение **risk94** » 2016-09-28 10:40:55

таже петрушка - ip в фаер не добавляются.... аномалий не видно..

gyurza2000

День добрый, вопрос. В статье упоминается вставка 2х таблиц в ipfw. В какое именно место ipfw втыкать данные таблицы? До NATа, после или ещё после каких строк?

gyurza2000

Скажите, а в /usr/local/etc/fail2ban/filter.d./apache-nohome.conf может присутствовать только одно правило?
А то мне хотелось бы резать ещё и такие случаи:

Код: Выделить всё

[client 114.55.62.121:26957] AH01630: client denied by server configuration: /WWW/мойсайт/db_session.init.php

zarathustra

Подскажите, есть ли опыт (или примеры) связки fail2ban с mpd5 (L2TP)? К сожалению, на просторах найти ничего не смог, а сам в этом не силен...

gyurza2000

Не подскажите, как настроить fail2ban 0.10.4_2 на отправку уведомлений на e-mail посредством Exim?

gyurza2000

Помогите с конфигом, пжлст

Код: Выделить всё

[exim]
enabled = true
port   = smtp,465,submission
logpath = /var/log/exim/exim_main.log
action = bsd-ipfw[table=20]
          %(action_mwl)s

Если такой код - F2B бодро шлёт письма о бане/разбане и т.д.,но, в таблицы ничего не вносит и не банит
Если убрать последнюю строку, тогда F2B вносит всё в таблицы ipfw, но, естественно, никаких писем не шлёт.
Как бы совместить?

forum.lissyara.su