Fail2ban:デフォルトチェーンを変更できません

Fail2ban:デフォルトチェーンを変更できません

OK:だからDebian 8.7システムにfailure2banをインストールしました。私のiptablesは次のとおりです。

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N fail2ban-ssh-daily
-N fail2ban-ssh-permaban
-N fail2ban-ssh-yearban

-N fail2ban-sshd
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-sshd
-A fail2ban-sshd -j RETURN

これ

-N fail2ban-sshd
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-sshd
-A fail2ban-sshd -j RETURN

デフォルトはfail2ban.sshd- 命名規則を次のように指定したいと思います。

  • -N fail2ban-ssh-daily(基本FAIL2BAN-SSHD禁止の場合)
  • -N fail2ban-ssh-permaban(永久禁止用)
  • -N fail2ban-ssh-yearban(年間禁止用)

デフォルト設定を使用して追加を停止しfail2ban.sshd、fall2banを使用して刑務所を設定したいと思います。これにより、次のことができます。

  1. 毎日の禁止チェーンの設定 - 毎日の禁止は24時間後に削除されます(IPも記録したいが、/etc/fail2ban/ip.blocklist.nameは禁止を記録しません。ファイルも生成されません。残っているときに触れます)若い- 私は3つのログ(毎日、年間、永久)が欲しいです。これにより、適切なしきい値に達するとIPが禁止され、正しいチェーン(毎日、永続、年間)に配置され、次にip.blocklist.sshが生成されます。 - daily、ip.blocklist.ssh-yearban、およびip.blocklist.ssh-permaban)しかし失敗2ban.sshdチェーンを削除することはできません。 - 「fail2ban-ssh-daily」で毎日の禁止を確認したい。どうすればいいですか?私が指定したチェーンを維持しますか? ) また、iptablesルールも正しいことを確認したいと思います。
  2. 年間禁止チェーンの設定:年間禁止は、私のサーバーに接続しようとする人のためのものです。これらのユーザーはfail2ban-ssh-yearbanに配置され、そのIPはip.blocklist.yearbanに書き込まれ、ロードされます。これらのユーザーは、私のサーバーで約100回試行してから1年間ブロックされます。
  3. PERMABANチェーン設定:PERMA禁止は、私のサーバーを攻撃し続けたい人、または最悪のIP(中国、インドなど)です。これらのIPはfail2ban-ssh-PERMABANに配置され、そのIPがログに記録され、hosts.denyに配置され、badips.comまたはサイト名が何でも報告されます。私のサーバーに対して500回の試みに設定したようです。

問題は次のとおりです。 failure2banに関する質問に対する一般的な回答のみが表示されます。 action.d/iptables-multiportファイルと必要なすべてのフィルタを設定する必要がありますが、iptables-ssh-daily、iptables-ssh-yearbanを設定したいと思います。インスタンスごとにiptables-ssh-permaban設定ファイルがありますが、試してみましたが、悲惨に失敗しました。

また、/var/log/fail2ban.logに多くのゴミが表示され、何らかの理由でアドレスを禁止しないというエラーが発生します。不明です。起動して変更しない限り、エラーが発生します。何も - それ以外の場合は、IPが存在するかどうかにかかわらず、ブロックリストにIPを追加せず、正しくフィルタリングしません。 IPが禁止されていることをメールで通知しますが、Failtobanログには6が表示されます。 -7個同じIPがブロックされているか、ログインしていないか、ブロックされています。

私がやりたいことをする方法を知っている人はいますか?これらの試みを追跡したいのですが、システムは正常に動作しません。〜しない限り私はそれを維持します。

次のチェーン名を取得し、システムに禁止を追加するようにFail2banを変更するにはどうすればよいですか?適切デイリーチェーン、年間チェーン、パーマバンチェーン?

それらはすべてXでマークされています。そしてfailure2ban.sshdはまだ存在します。緑の編集は役に立たず、私が尋ねた質問に答えませんでした。

  1. 使用するルールは次のとおりです。 -N failure2ban-ssh-daily (基本 FAIL2ban-Sshd 禁止用) -N failure2ban-ssh-permaban (永久禁止用) -N failure2ban-ssh-yearban (年間禁止用) (追加 - N IP が行く唯一の場所である Fail2ban .sshd)
  2. 各禁止タイプに対してiptablesファイルを設定し、関連するチェーンip.blocklist.daily、ip.blocklist.yearly、およびipblocklist.permabanに対してip.blocklistを提供したいと思います。
  3. 禁止措置が正しいチェーンに到達できるように、iptablesの助けが必要です。使用したい刑務所の下にijail.localファイルを置きます。

    [ssh-daily]
    enabled  = false
    filter   = sshd
    action   = iptables-ssh-daily[name=ssh-daily]
               sendmail-whois[name=SSH-Daily, dest=root@localhost, sender=root@localhost]
    logpath  = %(sshd_log)s
    maxretry = 10
    findtime = 600
    bantime  = 86400
    
    [ssh-yearban]
    enabled  = false
    filter   = sshd
    action   = iptables-ssh-yearban[name=ssh-yearban]
               sendmail-whois[name=SSH-Yearban, dest=root@localhost, sender=root@localhost]
    logpath  = %(sshd_log)s
    maxretry = 35
    findtime = 3153600
    bantime  = 3153600
    
    [ssh-permaban]
    enabled  = true
    filter   = sshd
    action   = iptables-ssh-permaban[name=ssh-permaban]
               sendmail-whois[name=SSH-PermaBan dest=root@localhost, sender=root@localhost]
    logpath  = %(sshd_log)s
    maxretry = 100
    findtime = -3153600
    bantime  = -3153600
    

刑務所は機能しなければなりませんが、各スタンザに対してDaily、Yearly、およびPermabanチェーンとブロックリストにIPを追加することを確認する必要があります。どこでも問題が発生し、多くの問題があります。ごみin /var/log/fail2ban.log- 設定をカスタマイズしたいが機能できません。

今、あなたは正しいルールでiptablesを編集するために何をすべきかを教えてくれます。

関連情報