[РЕШЕНО] fail2ban не баннит ip адреса

dak	# 6 лет, 8 месяцев назад (отредактировано 6 лет, 7 месяцев назад)
Темы: 2 Сообщения: 11 Участник с: 25 июля 2017	Добрый день. Помогите с настройкой fail2ban. Делал по инструкции cp /etc/fail2ban/paths-fedora.conf /etc/fail2ban/paths-archlinux.conf nano /etc/fail2ban/jail.local `[INCLUDES] before = paths-archlinux.conf` nano /etc/fail2ban/jail.d/jail.conf `[DEFAULT] bantime = 864000 findtime = 86400 ignoreip = 127.0.0.1/8 [sshd] enabled = true filter = sshd action = iptables[name=SSH, port=ssh, protocol=tcp] backend = systemd maxretry = 2 port = 22` systemctl enable fail2ban.service systemctl restart fail2ban.service fail2ban-client -vv -d 2>&1 \| grep sshd \| grep -Ev "'addfailregex'\|'addignoreip'\|'action'" INFO Loading configs for filter.d/sshd under /etc/fail2ban DEBUG Reading configs for filter.d/sshd under /etc/fail2ban DEBUG Reading config files: /etc/fail2ban/filter.d/sshd.conf INFO Loading files: ['/etc/fail2ban/filter.d/sshd.conf'] INFO Loading files: ['/etc/fail2ban/filter.d/common.conf', '/etc/fail2ban/filter.d/sshd.conf'] ['add', 'sshd', 'systemd'] ['set', 'sshd', 'logencoding', 'auto'] ['set', 'sshd', 'maxretry', 2] ['set', 'sshd', 'findtime', 86400] ['set', 'sshd', 'bantime', 864000] ['set', 'sshd', 'usedns', 'warn'] ['set', 'sshd', 'ignorecommand', ''] ['set', 'sshd', 'maxlines', '10'] ['set', 'sshd', 'addjournalmatch', '_SYSTEMD_UNIT=sshd.service', '+', '_COMM=sshd'] ['set', 'sshd', 'addaction', 'iptables'] ['start', 'sshd'] systemctl status fail2ban.service fail2ban.service - Fail2Ban Service Loaded: loaded (/usr/lib/systemd/system/fail2ban.service; enabled; vendor preset: disabled) Active: active (running) since Thu 2017-08-17 15:06:32 MSK; 11min ago Docs: man:fail2ban(1) Process: 1039 ExecStop=/usr/bin/fail2ban-client stop (code=exited, status=0/SUCCESS) Process: 1044 ExecStart=/usr/bin/fail2ban-client -x start (code=exited, status=0/SUCCESS) Main PID: 1047 (fail2ban-server) Tasks: 3 (limit: 4915) CGroup: /system.slice/fail2ban.service └─1047 /usr/bin/python /usr/bin/fail2ban-server -s /var/run/fail2ban/fail2ban.sock -p /var/run/fail2ban/fail2ban.pid -x -b iptables -L -v -n `Chain INPUT (policy ACCEPT 824 packets, 67207 bytes) pkts bytes target prot opt in out source destination 75 7770 f2b-SSH tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 157 packets, 21121 bytes) pkts bytes target prot opt in out source destination Chain f2b-SSH (1 references) pkts bytes target prot opt in out source destination 75 7770 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0` Но ничего не работает. fail2ban не банит ip адреса в archlinux. Просьба, подскажите рабочий конфиг. Пробовал рабочий конфиг из дебиана, но бан не работает.

# 6 лет, 8 месяцев назад (отредактировано 6 лет, 7 месяцев назад)

Сообщения: 11

Участник с: 25 июля 2017

Добрый день. Помогите с настройкой fail2ban.
Делал по инструкции
cp /etc/fail2ban/paths-fedora.conf /etc/fail2ban/paths-archlinux.conf
nano /etc/fail2ban/jail.local

[INCLUDES]
before = paths-archlinux.conf

nano /etc/fail2ban/jail.d/jail.conf

[DEFAULT]
bantime = 864000
findtime  = 86400
ignoreip = 127.0.0.1/8

[sshd]
enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
backend  = systemd
maxretry = 2
port = 22

systemctl enable fail2ban.service
systemctl restart fail2ban.service

fail2ban-client -vv -d 2>&1 | grep sshd | grep -Ev "'addfailregex'|'addignoreip'|'action'"

INFO   Loading configs for filter.d/sshd under /etc/fail2ban
DEBUG  Reading configs for filter.d/sshd under /etc/fail2ban
DEBUG  Reading config files: /etc/fail2ban/filter.d/sshd.conf
INFO     Loading files: ['/etc/fail2ban/filter.d/sshd.conf']
INFO     Loading files: ['/etc/fail2ban/filter.d/common.conf', '/etc/fail2ban/filter.d/sshd.conf']
['add', 'sshd', 'systemd']
['set', 'sshd', 'logencoding', 'auto']
['set', 'sshd', 'maxretry', 2]
['set', 'sshd', 'findtime', 86400]
['set', 'sshd', 'bantime', 864000]
['set', 'sshd', 'usedns', 'warn']
['set', 'sshd', 'ignorecommand', '']
['set', 'sshd', 'maxlines', '10']
['set', 'sshd', 'addjournalmatch', '_SYSTEMD_UNIT=sshd.service', '+', '_COMM=sshd']
['set', 'sshd', 'addaction', 'iptables']
['start', 'sshd']

systemctl status fail2ban.service

fail2ban.service - Fail2Ban Service
   Loaded: loaded (/usr/lib/systemd/system/fail2ban.service; enabled; vendor preset: disabled)
   Active: active (running) since Thu 2017-08-17 15:06:32 MSK; 11min ago
     Docs: man:fail2ban(1)
  Process: 1039 ExecStop=/usr/bin/fail2ban-client stop (code=exited, status=0/SUCCESS)
  Process: 1044 ExecStart=/usr/bin/fail2ban-client -x start (code=exited, status=0/SUCCESS)
 Main PID: 1047 (fail2ban-server)
    Tasks: 3 (limit: 4915)
   CGroup: /system.slice/fail2ban.service
           └─1047 /usr/bin/python /usr/bin/fail2ban-server -s /var/run/fail2ban/fail2ban.sock -p /var/run/fail2ban/fail2ban.pid -x -b

iptables -L -v -n

Chain INPUT (policy ACCEPT 824 packets, 67207 bytes)
 pkts bytes target     prot opt in     out     source               destination
   75  7770 f2b-SSH    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 157 packets, 21121 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain f2b-SSH (1 references)
 pkts bytes target     prot opt in     out     source               destination
   75  7770 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Но ничего не работает. fail2ban не банит ip адреса в archlinux.

Просьба, подскажите рабочий конфиг.
Пробовал рабочий конфиг из дебиана, но бан не работает.

dak	# 6 лет, 7 месяцев назад (отредактировано 6 лет, 6 месяцев назад)
Темы: 2 Сообщения: 11 Участник с: 25 июля 2017	Кратко решение проблемы 1.Устанавливаем syslog-ng pacman -S syslog-ng systemctl enable syslog-ng systemctl restart syslog-ng Проверка [ -s /var/log/auth.log ] \|\| echo "syslog-ng service does not work" Если нет сообщения, то syslog-ng работает. 2. iptables v4 (Если Вы не используете ipv6) iptables-save > /etc/iptables/iptables.rules cat /etc/iptables/iptables.rules systemctl enable iptables.service systemctl restart iptables.service 3. sshd Если Вы не используете ipv6 sed -i '/#AddressFamily any/a AddressFamily inet' /etc/ssh/sshd_config systemctl enable sshd.service systemctl restart sshd.service `netstat -tunlp \| grep sshd tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1505/sshd` 4.fail2ban Устанавливаем fail2ban pacman -S fail2ban systemctl enable fail2ban.service systemctl restart fail2ban.service cp /etc/fail2ban/paths-fedora.conf /etc/fail2ban/paths-archlinux.conf touch /etc/fail2ban/jail.local echo "[INCLUDES] before = paths-archlinux.conf" >> /etc/fail2ban/jail.local touch /etc/fail2ban/jail.d/jail.conf Если Вы используете iptables и не используете ip6tables `echo "[DEFAULT] bantime = 86400 findtime = 432000 ignoreip = 127.0.0.1/8 [sshd] enabled = true filter = sshd action = iptables[name=SSH, port=ssh, protocol=tcp] backend = systemd maxretry = 3 logpath = %(sshd_log)s" >> /etc/fail2ban/jail.d/jail.conf` (При такой конфигурации отправка почты происходить не будет. Если необходимо отправлять почту, то надо установить и настроить пакет ssmtp pacman -S ssmtp) systemctl restart fail2ban.service systemctl status fail2ban.service systemctl status fail2ban.service ● fail2ban.service - Fail2Ban Service Loaded: loaded (/usr/lib/systemd/system/fail2ban.service; enabled; vendor preset: disabled) Active: active (running) Проверяем наличие fail2ban в iptables iptables -L -v -n `Chain INPUT (policy ACCEPT 17 packets, 1300 bytes) pkts bytes target prot opt in out source destination 0 0 f2b-SSH tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 7 packets, 493 bytes) pkts bytes target prot opt in out source destination Chain f2b-SSH (1 references) pkts bytes target prot opt in out source destination 0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0` sed -i '/#LogLevel INFO/a LogLevel VERBOSE' /etc/ssh/sshd_config и перезапустите sshd сервис systemctl restart sshd.service После этого fail2ban стал банить по ip адресам и отправлять почту.

dak

# 6 лет, 7 месяцев назад (отредактировано 6 лет, 6 месяцев назад)

Темы: 2

Сообщения: 11

Участник с: 25 июля 2017

Кратко решение проблемы
1.Устанавливаем syslog-ng
pacman -S syslog-ng
systemctl enable syslog-ng
systemctl restart syslog-ng
Проверка [ -s /var/log/auth.log ] || echo "syslog-ng service does not work"
Если нет сообщения, то syslog-ng работает.

2. iptables v4 (Если Вы не используете ipv6)
iptables-save > /etc/iptables/iptables.rules
cat /etc/iptables/iptables.rules
systemctl enable iptables.service
systemctl restart iptables.service

3. sshd
Если Вы не используете ipv6
sed -i '/#AddressFamily any/a AddressFamily inet' /etc/ssh/sshd_config

systemctl enable sshd.service
systemctl restart sshd.service

netstat -tunlp | grep sshd
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1505/sshd

4.fail2ban

Устанавливаем fail2ban
pacman -S fail2ban

systemctl enable fail2ban.service
systemctl restart fail2ban.service

cp /etc/fail2ban/paths-fedora.conf /etc/fail2ban/paths-archlinux.conf

touch /etc/fail2ban/jail.local
echo "[INCLUDES]
before = paths-archlinux.conf" >> /etc/fail2ban/jail.local

touch /etc/fail2ban/jail.d/jail.conf

Если Вы используете iptables и не используете ip6tables

echo "[DEFAULT]
bantime = 86400
findtime  = 432000
ignoreip = 127.0.0.1/8

[sshd]
enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
backend  = systemd
maxretry = 3
logpath = %(sshd_log)s" >> /etc/fail2ban/jail.d/jail.conf

(При такой конфигурации отправка почты происходить не будет.
Если необходимо отправлять почту, то надо установить и настроить пакет ssmtp
pacman -S ssmtp)

systemctl restart fail2ban.service

systemctl status fail2ban.service

systemctl status fail2ban.service
● fail2ban.service - Fail2Ban Service
Loaded: loaded (/usr/lib/systemd/system/fail2ban.service; enabled; vendor preset: disabled)
Active: active (running)
Проверяем наличие fail2ban в iptables

iptables -L -v -n

Chain INPUT (policy ACCEPT 17 packets, 1300 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 f2b-SSH    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 7 packets, 493 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain f2b-SSH (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

sed -i '/#LogLevel INFO/a LogLevel VERBOSE' /etc/ssh/sshd_config и перезапустите sshd сервис

systemctl restart sshd.service

После этого fail2ban стал банить по ip адресам и отправлять почту.

i-diot	# 6 лет, 6 месяцев назад
Темы: 24 Сообщения: 130 Участник с: 04 сентября 2011	А как добавить в белый список проверенные ip ?

dak	# 6 лет, 6 месяцев назад
Темы: 2 Сообщения: 11 Участник с: 25 июля 2017	А как добавить в белый список проверенные ip ? В ignoreip добавить проверенные адреса через пробел, с указанием маски, например ignoreip = 127.0.0.1/8 56.46.77.67/8 После добавления перезапустить службу fail2ban.service.