Nowe posty

xx Zdalne polaczenie z posrednikiem pod Ubuntu bez GUI (1)
2019-04-19, 11:11:08
xx bład krytyczny na dysku, dysk jest w LVM (2)
2019-04-19, 06:38:20
xx Przekierowanie na bezpieczną stronę z SSL (1)
2019-04-16, 19:52:43
xx bootloader (4)
2019-04-13, 18:31:03
xx Ubuntu i Bluetooth (1)
2019-04-12, 10:12:18
clip Opera - odtwarzanie niektórych filmów nie działa (1)
2019-04-12, 00:41:50
xx Xubuntu i VirtualBox (2)
2019-04-11, 23:24:54
xx problem konfiguracji sieci (3)
2019-04-10, 17:19:19
xx Wykonam strone internetowa. Tworzenie i projektowanie stron www (0)
2019-04-10, 12:37:26
xx Read- only SD (7)
2019-04-10, 08:28:22

Autor Wątek: Fail2ban, geoip a ssh  (Przeczytany 501 razy)

Offline

  • Users
  • Użytkownik
  • **
  • Wiadomości: 74
    • Zobacz profil
Fail2ban, geoip a ssh
« dnia: 2018-01-24, 08:13:48 »
Witam
W fail2ban ustawiłem aby monitował port ssh. Wyłapuje próby logowania ale jest ich dużo, więc aby ograniczyć ich ilość dołożyłem GeoIP. W logach widać, że  GeoIP blokuje adresy spoza PL ale jednocześnie te same adresy pojawiają się w fail2ban. Czy nie powinno być tak że jak GeoIP  zablokuje adres IP to fail2ban nie powinno już reagować na to samo zdarzenie? Mam wrażenie że u mnie jest coś nie tak.

# cat  /var/log/secure

Jan 24 08:01:20 ns1: DENY sshd connection from 118.179.136.27 (BD)
Jan 24 08:01:30 ns1 sshd[21057]: Invalid user christian from 118.179.136.27
Jan 24 08:01:30 ns1 sshd[21071]: input_userauth_request: invalid user christian
Jan 24 08:01:30 ns1 sshd[21057]: pam_unix(sshd:auth): check pass; user unknown
Jan 24 08:01:30 ns1 sshd[21057]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=118.179.136.27
Jan 24 08:01:30 ns1 sshd[21057]: pam_succeed_if(sshd:auth): error retrieving information about user christian
Jan 24 08:01:33 ns1 sshd[21057]: Failed password for invalid user christian from 118.179.136.27 port 36526 ssh2
Jan 24 08:01:33 ns1 sshd[21071]: Connection closed by 118.179.136.27

a chwilę potem mam powiadomienie z fail2ban:

Hi,

The IP 118.179.136.27 has just been banned by Fail2Ban after
3 attempts against sshd.
...
Lines containing IP:118.179.136.27 in /var/log/secure

Jan 23 21:19:28 ns1 sshd[31954]: Invalid user christian from 118.179.136.27
Jan 23 21:19:28 ns1 sshd[31954]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=118.179.136.27
Jan 23 21:19:29 ns1 sshd[31954]: Failed password for invalid user christian from 118.179.136.27 port 34894 ssh2
Jan 23 21:19:30 ns1 sshd[31965]: Connection closed by 118.179.136.27
Jan 24 08:01:20 ns1: DENY sshd connection from 118.179.136.27 (BD)
Jan 24 08:01:30 ns1 sshd[21057]: Invalid user christian from 118.179.136.27
Jan 24 08:01:30 ns1 sshd[21057]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=118.179.136.27
Jan 24 08:01:33 ns1 sshd[21057]: Failed password for invalid user christian from 118.179.136.27 port 36526 ssh2
Jan 24 08:01:33 ns1 sshd[21071]: Connection closed by 118.179.136.27

Pozdrawiam
Mariusz

Offline

  • Users
  • Użytkownik
  • **
  • Wiadomości: 74
    • Zobacz profil
Odp: Fail2ban, geoip a ssh
« Odpowiedź #1 dnia: 2018-01-24, 09:28:53 »
Już nieważne... Zawsze jak napisze na forum to znajduje rozwiązanie ...