Nowe posty

xx Przydatne Linki (4)
Dzisiaj o 14:13:00
xx Awstat (0)
Wczoraj o 14:55:15
xx SMB - Access denied z Windows (9)
2019-08-19, 11:27:24
xx Kali Linux - książka. (0)
2019-08-19, 00:20:25
xx Arch - startx dla uruchomienia GNOME powoduje wyłączenie komputera (6)
2019-08-18, 14:37:04
xx Nie moge urchmomic laptopa - grub rescue. (1)
2019-08-17, 18:24:00
xx Po aktualizacji zniknęły niektóre funkcje (45)
2019-08-14, 06:39:01
xx Operacje na bitach. (4)
2019-08-10, 21:44:36
xx Pblem z montowaniem dysku sieciowego (1)
2019-08-09, 23:36:45
xx [Promocja] Mój nowy kanał na YouTube o Linuksie po polsku. (0)
2019-08-07, 20:36:10

Autor Wątek: Fail2ban, geoip a ssh  (Przeczytany 551 razy)

Offline

  • Users
  • Użytkownik
  • **
  • Wiadomości: 78
    • Zobacz profil
Fail2ban, geoip a ssh
« dnia: 2018-01-24, 08:13:48 »
Witam
W fail2ban ustawiłem aby monitował port ssh. Wyłapuje próby logowania ale jest ich dużo, więc aby ograniczyć ich ilość dołożyłem GeoIP. W logach widać, że  GeoIP blokuje adresy spoza PL ale jednocześnie te same adresy pojawiają się w fail2ban. Czy nie powinno być tak że jak GeoIP  zablokuje adres IP to fail2ban nie powinno już reagować na to samo zdarzenie? Mam wrażenie że u mnie jest coś nie tak.

# cat  /var/log/secure

Jan 24 08:01:20 ns1: DENY sshd connection from 118.179.136.27 (BD)
Jan 24 08:01:30 ns1 sshd[21057]: Invalid user christian from 118.179.136.27
Jan 24 08:01:30 ns1 sshd[21071]: input_userauth_request: invalid user christian
Jan 24 08:01:30 ns1 sshd[21057]: pam_unix(sshd:auth): check pass; user unknown
Jan 24 08:01:30 ns1 sshd[21057]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=118.179.136.27
Jan 24 08:01:30 ns1 sshd[21057]: pam_succeed_if(sshd:auth): error retrieving information about user christian
Jan 24 08:01:33 ns1 sshd[21057]: Failed password for invalid user christian from 118.179.136.27 port 36526 ssh2
Jan 24 08:01:33 ns1 sshd[21071]: Connection closed by 118.179.136.27

a chwilę potem mam powiadomienie z fail2ban:

Hi,

The IP 118.179.136.27 has just been banned by Fail2Ban after
3 attempts against sshd.
...
Lines containing IP:118.179.136.27 in /var/log/secure

Jan 23 21:19:28 ns1 sshd[31954]: Invalid user christian from 118.179.136.27
Jan 23 21:19:28 ns1 sshd[31954]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=118.179.136.27
Jan 23 21:19:29 ns1 sshd[31954]: Failed password for invalid user christian from 118.179.136.27 port 34894 ssh2
Jan 23 21:19:30 ns1 sshd[31965]: Connection closed by 118.179.136.27
Jan 24 08:01:20 ns1: DENY sshd connection from 118.179.136.27 (BD)
Jan 24 08:01:30 ns1 sshd[21057]: Invalid user christian from 118.179.136.27
Jan 24 08:01:30 ns1 sshd[21057]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=118.179.136.27
Jan 24 08:01:33 ns1 sshd[21057]: Failed password for invalid user christian from 118.179.136.27 port 36526 ssh2
Jan 24 08:01:33 ns1 sshd[21071]: Connection closed by 118.179.136.27

Pozdrawiam
Mariusz

Offline

  • Users
  • Użytkownik
  • **
  • Wiadomości: 78
    • Zobacz profil
Odp: Fail2ban, geoip a ssh
« Odpowiedź #1 dnia: 2018-01-24, 09:28:53 »
Już nieważne... Zawsze jak napisze na forum to znajduje rozwiązanie ...