ラトビアンの提示
編集:一部のクライアントで動作しています。
他の Rasberry Pi のログが動作しており、ログに正しいエントリが表示されるようになりました。
Jul 22 04:02:21 <HOSTNAME> dropbear[2462]: Bad password attempt for
'user' from 192.168.1.154:39594
しかし、Macで試してみると、次のような結果が表示されます。
Jul 22 04:29:27 <HOSTNAME> dropbear[3026]: Bad password attempt for 'user' from fe80::109b:c195:be5d:6e5e%eth0:63395
何らかの理由でIPV6アドレスを使用しようとしています。
ここで同様のスレッドを見つけることができます。Fail2Ban dropbear認証に失敗しました。
私はこれをしましたが、バックアップ(関連なし)から復元する必要がありましたが、そのバックアップにはこれに対する修正は含まれませんでした。リカバリ後、drop Bearを再インストールしてFAIL2BANを再構成しましたが、正規表現が再び変更されたようです。前回は大文字対小文字Bが原因でしたが今回ではなく、以下に示すように今実行しているFail2banバージョンではその問題が解決されたようです。しかし、まだ車の故障の問題は解決されません。
確認ログエラー
dropbear[740]: Bad password attempt for 'username' from 192.168.1.171:62556
現在のフィルタ
# Fail2Ban filter for dropbear
#
# NOTE: The regex below is ONLY intended to work with a patched
# version of Dropbear as described here:
# http://www.unchartedbackwaters.co.uk/pyblosxom/static/patches
# ^%(__prefix_line)sexit before auth from <HOST>.*\s*$
#
# The standard Dropbear output doesn't provide enough information to
# ban all types of attack. The Dropbear patch adds IP address
# information to the 'exit before auth' message which is always
# produced for any form of non-successful login. It is that message
# which this file matches.
#
# More information: http://bugs.debian.org/546913
[INCLUDES]
# Read common prefixes. If any customizations available -- read them from
# common.local
before = common.conf
[Definition]
_daemon = dropbear
failregex = ^%(__prefix_line)s[Ll]ogin attempt for nonexistent user ('.*' )?from <HOST>:\d+$
^%(__prefix_line)s[Bb]ad (PAM )?password attempt for .+ from <HOST>(:\d+)?$
^%(__prefix_line)s[Ee]xit before auth \(user '.+', \d+ fails\): Max auth tries reached - user '.+' from <HOST>:\d+\s*$
ignoreregex =
# DEV Notes:
#
# The first two regexs here match the unmodified dropbear messages. It isn't
# possible to match the source of the 'exit before auth' messages from dropbear
# as they don't include the "from <HOST>" bit.
#
# The second last failregex line we need to match with the modified dropbear.
#
# For the second regex the following apply:
#
# http://www.netmite.com/android/mydroid/external/dropbear/svr-authpam.c
# http://svn.dd-wrt.com/changeset/16642#file64
Fail2banjail.conf
# [SECTION_NAME]
# enabled = true
#
# in /etc/fail2ban/jail.local.
#
# Optionally you may override any other parameter (e.g. banaction,
# action, port, logpath, etc) in that section within jail.local
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
[dropbear]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
# Generic filter for pam. Has to be used with action which bans all ports
# such as iptables-allports, shorewall
[pam-generic]
Fail2Ban刑務所。ローカル
#local ssh rule set
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
bantime = 900
banaction = iptables-allports
findtime = 900
maxretry = 3
#dropbear ssh config
[dropbear]
enabled = true
port = ssh
filter = dropbear
logpath = /var/log/auth.log
bantime = 900
banaction = iptables-allports
findtime = 900
maxretry = 3
IPTABLEs -L 出力
Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-dropbear tcp -- anywhere anywhere
fail2ban-ssh tcp -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain fail2ban-dropbear (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain fail2ban-ssh (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
正規表現を実行するとき
fail2ban-regex "Nov 15 09:09:16 gw dropbear[16806]: Bad password attempt for 'root' from 104.223.180.34:3703" config/filter.d/dropbear.conf
Running tests
=============
Use failregex line : config/filter.d/dropbear.conf
Traceback (most recent call last):
File "/usr/bin/fail2ban-regex", line 430, in <module>
fail2banRegex.readRegex(cmd_regex, 'fail') or sys.exit(-1)
File "/usr/bin/fail2ban-regex", line 227, in readRegex
'add%sRegex' % regextype.title())(regex.getFailRegex())
File "/usr/share/fail2ban/server/filter.py", line 95, in addFailRegex
raise e
server.failregex.RegexException: No 'host' group in 'config/filter.d/dropbear.conf'
答え1
MacでIPV6を無効にするには、コマンドラインで無効にする必要があります。 GUIに「未構成」とマークされていても、DHCPサーバーからIPV6アドレスを引き続き取得します。私が取ったステップは次のとおりです。
1) MacでIPV6を無効にする
networksetup -setv6off Wi-Fi $$ networksetup -setv6off Ethernet (-usesetv6automatic to enable)
2)私のDHCPサーバー(この場合はfailure2banとdropbearをインストールしたボックス)がIPV6を提供していないことを確認してください。
3) lixunシステム(ターゲットシステムまたはホスト)でIPV6を無効にする必要がある場合
sysctl -w net.ipv6.conf.all.disable_ipv6=1
sysctl -w net.ipv6.conf.default.disable_ipv6=1
=0 will enable
4)最終的にはデフォルトのFail2banドロップベアフィルタに戻りました。潜在的なエラーメッセージ大文字と小文字の違いをキャッチするために、最後の投稿以降に更新されたようです。
# Fail2Ban filter for dropbear
#
# NOTE: The regex below is ONLY intended to work with a patched
# version of Dropbear as described here:
# http://www.unchartedbackwaters.co.uk/pyblosxom/static/patches
# ^%(__prefix_line)sexit before auth from <HOST>.*\s*$
#
# The standard Dropbear output doesn't provide enough information to
# ban all types of attack. The Dropbear patch adds IP address
# information to the 'exit before auth' message which is always
# produced for any form of non-successful login. It is that message
# which this file matches.
#
# More information: http://bugs.debian.org/546913
[INCLUDES]
# Read common prefixes. If any customizations available -- read them from
# common.local
before = common.conf
[Definition]
_daemon = dropbear
failregex = ^%(__prefix_line)s[Ll]ogin attempt for nonexistent user ('.*' )?from <HOST>:\d+$
^%(__prefix_line)s[Bb]ad (PAM )?password attempt for .+ from <HOST>(:\d+)?$
^%(__prefix_line)s[Ee]xit before auth \(user '.+', \d+ fails\): Max auth tries reached - user '.+' from <HOST>:\d+\s*$
ignoreregex =
# DEV Notes:
#
# The first two regexs here match the unmodified dropbear messages. It isn't
# possible to match the source of the 'exit before auth' messages from dropbear
# as they don't include the "from <HOST>" bit.
#
# The second last failregex line we need to match with the modified dropbear.
#
# For the second regex the following apply:
#
# http://www.netmite.com/android/mydroid/external/dropbear/svr-authpam.c
# http://svn.dd-wrt.com/changeset/16642#file64
5) tables -L コマンドを使用して、IP テーブルが期待どおりに動作することを確認します。私に似た出力を表示する必要があります(他のルールがないと仮定)。 rpi-updateを使用してカーネルを更新する必要があります。
Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-dropbear tcp -- anywhere anywhere
fail2ban-ssh tcp -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain fail2ban-dropbear (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain fail2ban-ssh (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere