Fail2Ban: ইতিমধ্যে নিষিদ্ধ?

আমার সেন্টো সার্ভারে ফেইল 2 ব্যান চলছে। (নীচে কনফিগার করুন)

আমার ভার / লগ / বার্তাগুলিতে আমি সত্যিই অদ্ভুত কিছু লক্ষ্য করেছি:

Jun 19 12:09:32 localhost fail2ban.actions: INFO   [postfix] 114.43.245.205 already banned

আমি নিষিদ্ধ আইপি আইপ্যাবলে যোগ করতে Fail2Ban কনফিগার করেছি।

আমার জেল.কম:

[postfix]

enabled  = true
filter   = postfix
action   = iptables
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/maillog
bantime  = 43200
maxretry = 2

আমার পোস্টফিক্স.কম:

[INCLUDES]

before = common.conf

[Definition]
failregex = reject: RCPT from (.*)\[<HOST>\]: 550 5.1.1
            reject: RCPT from (.*)\[<HOST>\]: 450 4.7.1
            reject: RCPT from (.*)\[<HOST>\]: 554 5.7.1
            reject: RCPT from (.*)\[<HOST>\]: (.*)@yahoo.com.tw
ignoreregex =

আমার প্রশ্ন হ'ল ইতিমধ্যে অবরুদ্ধ হওয়া যে কেউ কীভাবে iptablesএখনও সার্ভারের সাথে সংযোগ স্থাপন করতে পারেন?

এখানে অন্য উত্তরে প্রস্তাবিত রেকর্ডিভ কারাগারটি আমার পক্ষে বিষয়টি ঠিক করে নি। আমি শেষ পর্যন্ত এটি ঠিক করেছি, তবে এটি অন্যদের সহায়তা করার ক্ষেত্রে আমার পদ্ধতিটি এখানে।

Fail2ban কেবলমাত্র TCP- র উপর ডিফল্টরূপে অবরোধ করে। কমপক্ষে আমার সেটআপের সাথে, আমি লক্ষ করেছি যে "ইতিমধ্যে নিষিদ্ধ" বার্তাটি প্রদর্শিত হচ্ছে যখন বটগুলি ইউডিপি-র পরিবর্তে অবরুদ্ধ বন্দরের চেষ্টা করতে ফিরে আসল।

এই সমস্যাটি সমাধান করতে, Fail2ban কে কেবলমাত্র TCP এর পরিবর্তে সমস্ত প্রোটোকল দিয়ে পোর্টটি ব্লক করতে বলুন। আপনি এই পরিবর্তনটি /etc/fail2ban/jail.conf এবং আপনার /etc/fail2ban/action.d/ এ ব্যবহার করা প্রতিটি ক্রিয়াকলাপের [ উদ্যোগ ] বিভাগে করা দরকার ।

এই পরিবর্তন:

# Default protocol
protocol = tcp

প্রতি:

# Default protocol
protocol = all

এরপরে, আমি আইসিএমপি প্রতিধ্বনি অনুরোধগুলি অক্ষম করলাম তাই ব্লক করা আইপিগুলির সার্ভারে আঘাত করার কোনও উপায় ছিল না:

1. ন্যানো /etc/sysctl.conf

2. এই দুটি লাইন যুক্ত করুন:

   net.ipv4.icmp_echo_ignore_all = 1  
   net.ipv4.icmp_echo_ignore_broadcasts = 1
   

3. প্রস্থান করুন এবং ফাইলটি সংরক্ষণ করুন।
4. পরিবর্তনটি কার্যকর হওয়ার জন্য সিস্কটেল-পি চালান ।

এর পরে, ব্যর্থ 2 -ক্লায়েন্ট পুনরায় লোড চালান এবং ব্লকটি কার্যকর হওয়ার আগে আপনি কোনও আইপি দ্বারা স্প্যাম না করা যদি আপনি এই "ইতিমধ্যে নিষিদ্ধ" বার্তাগুলি আর দেখতে না পান তবে এই ব্লকটি কার্যকর হওয়ার আগে কয়েকবার অ্যাক্সেস প্রচেষ্টা গ্রহণ করে।

এছাড়াও, প্রত্যেক জেলের বন্দরে iptables-allપોર્ટ অ্যাকশন ব্যবহার করে তারা যে বন্দরে অ্যাক্সেসের চেষ্টা করেছিল তার পরিবর্তে প্রত্যেক অপরাধীর জন্য সমস্ত বন্দরকে ব্লক করা গুরুত্বপূর্ণ। অন্যথায়, তারা অন্য জেল ট্রিগার করতে পারে এবং লগগুলিতে "ইতিমধ্যে নিষিদ্ধ" হিসাবে শেষ হতে পারে।

যদি আপনি এর আউটপুটটি লক্ষ্য করেন iptables-save, আপনি দেখতে পাবেন যে fail2banচেইনগুলি সেটআপ হয়েছে তাই তারা ফিল্টারগুলির দ্বারা নির্ধারিত নিয়ম অনুসারে প্যাকেটগুলি মূল্যায়ন করে, উদাহরণস্বরূপ:

:fail2ban-ssh - [0:0]
-A INPUT -p tcp -A INPUT -p tcp -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh 
-A fail2ban-ssh -j RETURN

অন্যান্য রাউটিং বিধি প্রয়োগ করা এবং ট্র্যাফিক প্রত্যাখ্যান হওয়ার আগে ট্র্যাফিক সার্ভারে পৌঁছে যায় । fail2banএখনও এই প্রাথমিক ট্র্যাফিকটি দেখেন এবং সে কারণেই আপনি "ইতিমধ্যে নিষিদ্ধ" বার্তাটি দেখেন। তদুপরি, রিকডিভিস্টদের জন্য একটি বিশেষ ফিল্টার রয়েছে ( /etc/fail2ban/filter.d/recidive.conf):

# Fail2Ban filter for repeat bans
#
# This filter monitors the fail2ban log file, and enables you to add long
# time bans for ip addresses that get banned by fail2ban multiple times.
#
# Reasons to use this: block very persistent attackers for a longer time,
# stop receiving email notifications about the same attacker over and
# over again.
#
# This jail is only useful if you set the 'findtime' and 'bantime' parameters
# in jail.conf to a higher value than the other jails. Also, this jail has its
# drawbacks, namely in that it works only with iptables, or if you use a
# different blocking mechanism for this jail versus others (e.g. hostsdeny
# for most jails, and shorewall for this one).

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
before = common.conf

[Definition]

_daemon = fail2ban\.server\.actions

# The name of the jail that this filter is used for. In jail.conf, name the
# jail using this filter 'recidive', or change this line!
_jailname = recidive

failregex = ^(%(__prefix_line)s| %(_daemon)s%(__pid_re)s?:\s+)WARNING\s+\[(?!%(_jailname)s\])(?:.*)\]\s+Ban\s+<HOST>\s*$

[Init]

journalmatch = _SYSTEMD_UNIT=fail2ban.service PRIORITY=4

# Author: Tom Hendrikx, modifications by Amir Caspi

আপনি যে আইপি ঠিকানাটি নিষিদ্ধ করছেন সেটি আসলে সার্ভারের সাথে সংযোগকারী ক্লায়েন্টের আইপি ঠিকানা না হলে এটি ঘটবে । যেমন যদি আপনার সার্ভারটি কোনও ভার ভারসাম্যকারী বা প্রক্সিটির পিছনে থাকে behind

সম্প্রতি এটি বের করতে আমার বেশ খানিকটা সময় লেগেছে। লাল হেরিংটি হ'ল লগগুলি X-Forwarded-Forআসল উত্স ঠিকানার পরিবর্তে আইপি ঠিকানা ক্যাপচারের জন্য কনফিগার করা হয়েছিল , যা আমার ক্ষেত্রে লোড ব্যালেন্সার ছিল।

এই ক্ষেত্রে ব্যর্থ 2ban তেমন সহায়তা করে না, যেহেতু আপত্তিজনক আইপি নিষিদ্ধ করা সমস্ত ট্র্যাফিককে অবরুদ্ধ করে।

আমি নিজের সমস্যাটি সমাধান করতে চাই এবং "ইতিমধ্যে নিষিদ্ধ" বার্তা দিয়ে সমাধান করতে চাই। আপনি যেমন লিখেছেন আমি কয়েক মিনিটের মধ্যে সেগুলিতে কয়েকজন ছিলাম, তবে আক্রমণকারীকে ইতিমধ্যে নিষিদ্ধ করা উচিত ছিল।

আমি শুরু করার আগে, এখানে আমার সিস্টেম:

• প্লেস্ক 12
• সেন্টোস 7
• প্লেস্ক-মডিউলটি আমার জন্য ফায়াল 2 ইন্সটল, অপারেটিং এবং কনফিগার করা

আমি যখন আমার রুটবার্টে ওপেনভিপিএন ইনস্টল করেছি তখন আমি ফায়ারওয়াল্ডকে আইপ্যাবনেসগুলিতে স্যুইচ করেছিলাম। এটি আমার জন্য এই সমস্যার কারণ হতে পারে, তবে এগুলি ছাড়া আমার সিস্টেমটি বেশিরভাগই ছোঁয়াচে এবং বেশ সতেজভাবে ইনস্টলড ছিল (স্ট্রোটোর রুটসভারটি ইনস্টল ইমেজের পরামর্শ দিয়েছিল)।

আপনার যদি সমস্যা হয় তবে দয়া করে /etc/fail2ban/jail.d/00-firewalld.conf দেখতে একটি লাইনের জন্য দেখুন:

banaction = firewallcmd-ipset

যে সময় থেকে আমি মন্তব্য করেছি, ফাইলটি সংরক্ষণ করে পুনরায় চালু করা হয়েছে fail2ban.service, ব্যর্থ 2 ব্যাবসা দিয়ে সবকিছু ঠিক আছে। আর কোনও বার্তা নেই

আমি বিশেষজ্ঞ নই তবে আপনাকে সঠিক উত্তর দেওয়ার আশা করছি। যদি এটি আপনার পক্ষে কাজ করে তবে দয়া করে আমাকে জানান!

আমার প্রশ্ন হ'ল ইপटेবেলে ইতিমধ্যে অবরুদ্ধ থাকা যে কেউ কীভাবে সার্ভারের সাথে সংযোগ স্থাপন করতে পারেন?

এটি কেবলমাত্র একবার সার্ভারের সাথে সংযুক্ত ছিল, কিন্তু সেই সংযোগে এটি সম্ভবত একাধিক ইমেল সম্ভবত অনর্থক মেইলবক্সগুলিতে সরবরাহ করার চেষ্টা করেছিল (যেমন info@domain.com, বিক্রয়@domain.com, tech@domain.com ইত্যাদি))

আপনি এই প্রয়াস নিষিদ্ধ করতে আপনার পোস্টফিক্স ফিল্টারটি কনফিগার করেছেন যাতে এক্স চেষ্টা করার পরে আইপি নিষিদ্ধ হয়ে যায়। ক্লায়েন্টটি ইতিমধ্যে পোস্টফিক্স থেকে সংযোগ বিচ্ছিন্ন হয়ে থাকতে পারে, তবে যেহেতু পোস্টফিক্স তার সমস্ত ইমেল প্রসেসিং শেষ না করেছে, ব্যর্থপুটবান একই ক্লায়েন্টের অন্য একটি প্রচেষ্টা সনাক্ত করতে পারে যখন পোস্টফিক্স তার মেইল ​​প্রসেস করে এবং আপনি ইতিমধ্যে নিষিদ্ধ বার্তার ঠিকানাটি পেয়ে যান। এটি পোস্টফিক্স সারি কীভাবে কাজ করে তার কারণেই।

আমার প্রশ্ন হ'ল ইপटेবেলে ইতিমধ্যে অবরুদ্ধ থাকা যে কেউ কীভাবে সার্ভারের সাথে সংযোগ স্থাপন করতে পারেন?

অবিশ্বাস্য ভাল প্রশ্ন। আমার ফায়ারওয়াল বিধিগুলি যদি কাজ না করে তবে আমি আশেপাশে অনুসন্ধান করে যাচ্ছিলাম, তবে iptables --list-rulesকাজ করে ফেলফ্যান 2 সাথে অন্য একটি প্রোডাকশন সার্ভারের সাথে ঠিক মিলছে।

মাইন্ড ব্লাইং সমাধানটি ছিল 8080 বন্দরটিকে অবরুদ্ধ বন্দরে যুক্ত করা, কারণ আমি এখনও বন্দরগুলির উপরে লগইন পৃষ্ঠা অ্যাক্সেস করে যাচ্ছিলাম।

সুতরাং আমার পরিস্থিতি ঠিক করা এই সমস্যাটি ছিল আমার একটি সহজ সরল অভিযোজন jail.local:

[JIRA-LOGIN-tcp]
  enabled = true
  port = http,https,8080
  protocol = tcp
  filter = JIRA-LOGIN-ERROR
  logpath = /var/atlassian/application-data/jira/log/atlassian-jira-security.log
  bantime = 600
  maxretry = 1

দেখতে /unix//a/525798/22315

আপনি সম্ভবত "পোর্ট =" লাইন থেকে 587 পোর্টটি হারিয়েছেন, এবং আপনি পোস্টফিক্স কনফিগারেশন ফাইলটি চেক করতে পারেন বা সরাসরি "পোর্টফিক্স" port বন্দরটি খুলতে কনফিগার করা হয়েছে কিনা তা জানতে "lsof -i: 587" করতে পারেন।