Nowe posty

xx Zmiana części pliku tekstowego (sed?) (5)
Wczoraj o 16:31:07
xx Problem z uruchomieniem Kali Linux! (6)
2019-11-16, 18:06:29
xx postfix otrzymane emaile from z mojej domeny (1)
2019-11-15, 13:27:39
xx Prawy przycisk myszy - > Nowy plik (4)
2019-11-14, 21:35:55
xx Konto root i crontab backupu (2)
2019-11-13, 22:51:23
xx Najlepsze gry na Androida według Was (3)
2019-11-13, 14:04:31
xx jak w C++ robić operacje na pieniądzach (7)
2019-11-13, 14:00:35
xx [C++] Do czego potrzebny jest czas kompilacji (1)
2019-11-13, 13:57:53
xx chrome - urządzenie audio (4)
2019-11-10, 12:33:43
xx PORADNIK ! [Poszukiwanie bledow] (1)
2019-11-09, 17:54:50

Autor Wątek: Fail2ban, geoip a ssh  (Przeczytany 605 razy)

Offline

  • Users
  • Użytkownik
  • **
  • Wiadomości: 85
    • Zobacz profil
Fail2ban, geoip a ssh
« dnia: 2018-01-24, 08:13:48 »
Witam
W fail2ban ustawiłem aby monitował port ssh. Wyłapuje próby logowania ale jest ich dużo, więc aby ograniczyć ich ilość dołożyłem GeoIP. W logach widać, że  GeoIP blokuje adresy spoza PL ale jednocześnie te same adresy pojawiają się w fail2ban. Czy nie powinno być tak że jak GeoIP  zablokuje adres IP to fail2ban nie powinno już reagować na to samo zdarzenie? Mam wrażenie że u mnie jest coś nie tak.

# cat  /var/log/secure

Jan 24 08:01:20 ns1: DENY sshd connection from 118.179.136.27 (BD)
Jan 24 08:01:30 ns1 sshd[21057]: Invalid user christian from 118.179.136.27
Jan 24 08:01:30 ns1 sshd[21071]: input_userauth_request: invalid user christian
Jan 24 08:01:30 ns1 sshd[21057]: pam_unix(sshd:auth): check pass; user unknown
Jan 24 08:01:30 ns1 sshd[21057]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=118.179.136.27
Jan 24 08:01:30 ns1 sshd[21057]: pam_succeed_if(sshd:auth): error retrieving information about user christian
Jan 24 08:01:33 ns1 sshd[21057]: Failed password for invalid user christian from 118.179.136.27 port 36526 ssh2
Jan 24 08:01:33 ns1 sshd[21071]: Connection closed by 118.179.136.27

a chwilę potem mam powiadomienie z fail2ban:

Hi,

The IP 118.179.136.27 has just been banned by Fail2Ban after
3 attempts against sshd.
...
Lines containing IP:118.179.136.27 in /var/log/secure

Jan 23 21:19:28 ns1 sshd[31954]: Invalid user christian from 118.179.136.27
Jan 23 21:19:28 ns1 sshd[31954]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=118.179.136.27
Jan 23 21:19:29 ns1 sshd[31954]: Failed password for invalid user christian from 118.179.136.27 port 34894 ssh2
Jan 23 21:19:30 ns1 sshd[31965]: Connection closed by 118.179.136.27
Jan 24 08:01:20 ns1: DENY sshd connection from 118.179.136.27 (BD)
Jan 24 08:01:30 ns1 sshd[21057]: Invalid user christian from 118.179.136.27
Jan 24 08:01:30 ns1 sshd[21057]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=118.179.136.27
Jan 24 08:01:33 ns1 sshd[21057]: Failed password for invalid user christian from 118.179.136.27 port 36526 ssh2
Jan 24 08:01:33 ns1 sshd[21071]: Connection closed by 118.179.136.27

Pozdrawiam
Mariusz

Offline

  • Users
  • Użytkownik
  • **
  • Wiadomości: 85
    • Zobacz profil
Odp: Fail2ban, geoip a ssh
« Odpowiedź #1 dnia: 2018-01-24, 09:28:53 »
Już nieważne... Zawsze jak napisze na forum to znajduje rozwiązanie ...