localhostでsshをブロックするようにfall2banを設定しようとしています。 Fail2banは、ファイアウォールを搭載したCentOS 7(Linux 3.10.0-229.4.2.el7.x86_64 x86_64)にインストールされます。 Jail.confをjail.localにコピーし、jail.localで次のパラメータを変更しました。
banaction = firewallcmd-new
[sshd]
enabled = true
maxretry = 5
port = ssh
logpath = /var/log/secure
action = firewallcmd-ipset
結果はありません。どんなアイデアがありますか?
いくつかのログ情報:
2ban.filter [2489]: INFO Added logfile = /var/log/secure
2015-06-23 07:21:33,439 fail2ban.filter [2489]: INFO Set maxRetry = 3
2015-06-23 07:21:33,440 fail2ban.filter [2489]: INFO Set jail log file encoding to UTF-8
2015-06-23 07:21:33,441 fail2ban.actions [2489]: INFO Set banTime = 86400
2015-06-23 07:21:33,442 fail2ban.filter [2489]: INFO Set findtime = 600
2015-06-23 07:21:33,442 fail2ban.filter [2489]: INFO Set maxlines = 10
2015-06-23 07:21:33,501 fail2ban.server [2489]: INFO Jail sshd is not a JournalFilter instance
2015-06-23 07:21:33,599 fail2ban.jail [2489]: INFO Jail 'sshd' started
SELinuxは無効になります。
action.d/firewallcmd-ipset.confファイル
[INCLUDES]
before = iptables-common.conf
[Definition]
actionstart = ipset create fail2ban-<name> hash:ip timeout <bantime>
firewall-cmd --direct --add-rule ipv4 filter <chain> 0 -p <protocol> -m multiport --dports <port> -m set --match-set fail2ban-<name> src -j <blocktype>
actionstop = firewall-cmd --direct --remove-rule ipv4 filter <chain> 0 -p <protocol> -m multiport --dports <port> -m set --match-set fail2ban-<name> src -j <blocktype>
ipset flush fail2ban-<name>
ipset destroy fail2ban-<name>
actionban = ipset add fail2ban-<name> <ip> timeout <bantime> -exist
actionunban = ipset del fail2ban-<name> <ip> -exist
[Init]
# Option: chain
# Notes specifies the iptables chain to which the fail2ban rules should be
# added
# Values: [ STRING ]
#
chain = INPUT_direct
# Option: bantime
# Notes: specifies the bantime in seconds (handled internally rather than by fail2ban)
# Values: [ NUM ] Default: 600
bantime = 600
# DEV NOTES:
#
# Author: Edgar Hoch and Daniel Black
# firewallcmd-new / iptables-ipset-proto6 combined for maximium goodness
答え1
何が起こっているのか理解するのに十分な情報がないので、ここで推測しています。しかし、私は次のことを試してみます:
fail2ban-regex --print-all-missed /var/log/secure /etc/fail2ban/filter.d/sshd.conf
何かを見つけたか、どの行が欠落しているかを確認してください。私は/var/log/secureがsshdが失敗したログインを印刷する場所であると仮定します。私のDebianベースのシステムでは/var/log/auth.logです。
私も刑務所で禁止時間と検索時間を持っていました。
bantime = 86400
findtime = 86400
見なければならない時間枠を教えてくれなかったので、何も得られなかったかもしれません。