Nowe posty

xx Instalacja Debian10 problem z instalacją GRUBa na RAID5 (5)
Wczoraj o 17:58:57
xx AMD Ryzen 5 3500U (11)
2019-10-14, 18:29:46
xx Konfiguracja directadmina (0)
2019-10-13, 03:18:36
xx Problem z instalacją sterowników TL-WN821N (4)
2019-10-11, 23:15:00
xx Sprzet z Linuxem (1)
2019-10-11, 10:06:24
xx nadpisanie partycji domowej (6)
2019-10-03, 03:27:28
xx Screen flickering Deepin (4)
2019-10-02, 20:32:56
xx Pisanie bezpiecznych skryptow. (0)
2019-10-01, 19:42:01
xx Ciągle pojawiają się nowe wpisy w auth.log (1)
2019-09-27, 21:09:45
xx Pblem z montowaniem dysku sieciowego (3)
2019-09-22, 22:05:08

Autor Wątek: Fail2ban, geoip a ssh  (Przeczytany 589 razy)

Offline

  • Users
  • Użytkownik
  • **
  • Wiadomości: 78
    • Zobacz profil
Fail2ban, geoip a ssh
« dnia: 2018-01-24, 08:13:48 »
Witam
W fail2ban ustawiłem aby monitował port ssh. Wyłapuje próby logowania ale jest ich dużo, więc aby ograniczyć ich ilość dołożyłem GeoIP. W logach widać, że  GeoIP blokuje adresy spoza PL ale jednocześnie te same adresy pojawiają się w fail2ban. Czy nie powinno być tak że jak GeoIP  zablokuje adres IP to fail2ban nie powinno już reagować na to samo zdarzenie? Mam wrażenie że u mnie jest coś nie tak.

# cat  /var/log/secure

Jan 24 08:01:20 ns1: DENY sshd connection from 118.179.136.27 (BD)
Jan 24 08:01:30 ns1 sshd[21057]: Invalid user christian from 118.179.136.27
Jan 24 08:01:30 ns1 sshd[21071]: input_userauth_request: invalid user christian
Jan 24 08:01:30 ns1 sshd[21057]: pam_unix(sshd:auth): check pass; user unknown
Jan 24 08:01:30 ns1 sshd[21057]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=118.179.136.27
Jan 24 08:01:30 ns1 sshd[21057]: pam_succeed_if(sshd:auth): error retrieving information about user christian
Jan 24 08:01:33 ns1 sshd[21057]: Failed password for invalid user christian from 118.179.136.27 port 36526 ssh2
Jan 24 08:01:33 ns1 sshd[21071]: Connection closed by 118.179.136.27

a chwilę potem mam powiadomienie z fail2ban:

Hi,

The IP 118.179.136.27 has just been banned by Fail2Ban after
3 attempts against sshd.
...
Lines containing IP:118.179.136.27 in /var/log/secure

Jan 23 21:19:28 ns1 sshd[31954]: Invalid user christian from 118.179.136.27
Jan 23 21:19:28 ns1 sshd[31954]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=118.179.136.27
Jan 23 21:19:29 ns1 sshd[31954]: Failed password for invalid user christian from 118.179.136.27 port 34894 ssh2
Jan 23 21:19:30 ns1 sshd[31965]: Connection closed by 118.179.136.27
Jan 24 08:01:20 ns1: DENY sshd connection from 118.179.136.27 (BD)
Jan 24 08:01:30 ns1 sshd[21057]: Invalid user christian from 118.179.136.27
Jan 24 08:01:30 ns1 sshd[21057]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=118.179.136.27
Jan 24 08:01:33 ns1 sshd[21057]: Failed password for invalid user christian from 118.179.136.27 port 36526 ssh2
Jan 24 08:01:33 ns1 sshd[21071]: Connection closed by 118.179.136.27

Pozdrawiam
Mariusz

Offline

  • Users
  • Użytkownik
  • **
  • Wiadomości: 78
    • Zobacz profil
Odp: Fail2ban, geoip a ssh
« Odpowiedź #1 dnia: 2018-01-24, 09:28:53 »
Już nieważne... Zawsze jak napisze na forum to znajduje rozwiązanie ...