ব্যর্থ আইপিএস দিয়ে সমস্ত নিষিদ্ধ আইপি কীভাবে প্রদর্শন করবেন?


36

আমি যখন এই আদেশটি চালাচ্ছি তখন আমি এটি fail2ban-client status sshdপেয়েছি:

Status for the jail: sshd
|- Filter
|  |- Currently failed: 1
|  |- Total failed:     81
|  `- File list:        /var/log/auth.log
`- Actions
   |- Currently banned: 2
   |- Total banned:     8
   `- Banned IP list:   218.65.30.61 116.31.116.7

এটি টোটাল ব্যানডে যেমন বলে ঠিক তেমন 8 টির পরিবর্তে কেবল দুটি আইপি প্রদর্শন করে।

যখন আমি এটি tail -f /var/log/auth.logপেয়েছিলাম:

Mar 29 11:08:40 DBSERVER sshd[29163]: error: maximum authentication attempts exceeded for root from 218.65.30.61 port 50935 ssh2 [preauth]
Mar 29 11:08:40 DBSERVER sshd[29163]: Disconnecting: Too many authentication failures [preauth]
Mar 29 11:08:40 DBSERVER sshd[29163]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.65.30.61  user=root
Mar 29 11:08:40 DBSERVER sshd[29163]: PAM service(sshd) ignoring max retries; 6 > 3
Mar 29 11:08:44 DBSERVER sshd[29165]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.65.30.61  user=root
Mar 29 11:08:46 DBSERVER sshd[29165]: Failed password for root from 218.65.30.61 port 11857 ssh2
Mar 29 11:09:01 DBSERVER CRON[29172]: pam_unix(cron:session): session opened for user root by (uid=0)
Mar 29 11:09:01 DBSERVER CRON[29172]: pam_unix(cron:session): session closed for user root
Mar 29 11:10:01 DBSERVER CRON[29226]: pam_unix(cron:session): session opened for user root by (uid=0)
Mar 29 11:10:02 DBSERVER CRON[29226]: pam_unix(cron:session): session closed for user root
Mar 29 11:10:18 DBSERVER sshd[29238]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=113.122.43.185  user=root
Mar 29 11:10:20 DBSERVER sshd[29238]: Failed password for root from 113.122.43.185 port 46017 ssh2
Mar 29 11:10:33 DBSERVER sshd[29238]: message repeated 5 times: [ Failed password for root from 113.122.43.185 port 46017 ssh2]
Mar 29 11:10:33 DBSERVER sshd[29238]: error: maximum authentication attempts exceeded for root from 113.122.43.185 port 46017 ssh2 [preauth]
Mar 29 11:10:33 DBSERVER sshd[29238]: Disconnecting: Too many authentication failures [preauth]
Mar 29 11:10:33 DBSERVER sshd[29238]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=113.122.43.185  user=root
Mar 29 11:10:33 DBSERVER sshd[29238]: PAM service(sshd) ignoring max retries; 6 > 3
Mar 29 11:11:36 DBSERVER sshd[29245]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.7  user=root
Mar 29 11:11:38 DBSERVER sshd[29245]: Failed password for root from 116.31.116.7 port 24892 ssh2
Mar 29 11:11:43 DBSERVER sshd[29245]: message repeated 2 times: [ Failed password for root from 116.31.116.7 port 24892 ssh2]
Mar 29 11:11:43 DBSERVER sshd[29245]: Received disconnect from 116.31.116.7 port 24892:11:  [preauth]
Mar 29 11:11:43 DBSERVER sshd[29245]: Disconnected from 116.31.116.7 port 24892 [preauth]
Mar 29 11:11:43 DBSERVER sshd[29245]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.7  user=root
Mar 29 11:12:39 DBSERVER sshd[29247]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.7  user=root
Mar 29 11:12:41 DBSERVER sshd[29247]: Failed password for root from 116.31.116.7 port 26739 ssh2
Mar 29 11:12:45 DBSERVER sshd[29247]: message repeated 2 times: [ Failed password for root from 116.31.116.7 port 26739 ssh2]
Mar 29 11:12:45 DBSERVER sshd[29247]: Received disconnect from 116.31.116.7 port 26739:11:  [preauth]
Mar 29 11:12:45 DBSERVER sshd[29247]: Disconnected from 116.31.116.7 port 26739 [preauth]
Mar 29 11:12:45 DBSERVER sshd[29247]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.7  user=root
Mar 29 11:13:41 DBSERVER sshd[29249]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.7  user=root
Mar 29 11:13:43 DBSERVER sshd[29249]: Failed password for root from 116.31.116.7 port 27040 ssh2

নিষিদ্ধ আইপি এখনও চেষ্টা করছে।

তবে আমি যখন পরীক্ষা sudo iptables -L INPUT -v -nকরেছিলাম তখন আমি এটি পেয়েছিলাম:

Chain INPUT (policy ACCEPT 228 packets, 18000 bytes)
 pkts bytes target     prot opt in     out     source               destination
 6050  435K f2b-sshd   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 22

আমি এখানে কি ভুল করছি?

আমি কীভাবে সমস্ত নিষিদ্ধ আইপি তালিকা প্রদর্শন করতে পারি?

আগাম ধন্যবাদ.


"মোট" অর্থ মোট নিষিদ্ধ, মোট বর্তমানে নিষিদ্ধ নয়। আপনি পূর্বে-নিষিদ্ধ ঠিকানাগুলি দেখতে পাবেন কেবলমাত্র স্থান লগগুলিতে রয়েছে (যদি আপনি তা রাখেন)।
হার্মিকিং মনিকা থামান

জেল.লোকাল বা জেলকনফ-এ, আপনার মনে হচ্ছে একটি ছোট bantime। এটি তৈরি করতে 200mবা এমনকি উচ্চ এবং তারপর কি sudo service fail2ban restartএবং তারপরfail2ban-client status sshd
অ্যালেন রাজা

উত্তর:


19

দয়া করে মনে রাখবেন আইপির ব্যর্থতা নিষিদ্ধকরণটি সাময়িক প্রকৃতির।

যে আইপিগুলি অবরুদ্ধ করা হয়েছে তার সম্পূর্ণ তালিকাটি দেখার সেরা উপায় হ'ল লগ ফাইলটি পরীক্ষা করা:

sudo zgrep 'Ban:' /var/log/fail2ban.log*

নিম্নলিখিত কমান্ডটি আপনাকে ইনপুট বিধিগুলির একটি পরিষ্কার তালিকা দিতে পারে:

sudo iptables -L INPUT -v -n | less

3
আমার লগফাইলে কোনও কোলন নেই (এইভাবে গ্রেপ সামঞ্জস্য করতে প্রয়োজন)। যদিও এটি সাম্প্রতিক পরিবর্তন হলে / এটি কতটা বিস্তৃত তা আমি জানি না, কারণ সম্পাদনার পরিবর্তে একটি মন্তব্য হিসাবে রেখে চলেছি।
kwah

মনে রাখবেন যে iptables নিয়মগুলি তালিকা করা কেবলমাত্র সেই ক্ষেত্রে কাজ করে যদি iptables আপনার নিষেধাজ্ঞার ক্রিয়া। কখনও কখনও এটি হয় না।
গিলাদ মায়ানী

@kwah আমার জন্য একই, লগ ফাইলে কোনও কোলন নেই। সম্ভবত আউটপুট, বা একটি টাইপ একটি সাম্প্রতিক পরিবর্তন।
ডেভিড মর্ডিগাল

অনুসন্ধান শব্দ 'বান' এর পরে ':' সরান কারণ ':' লগ ফাইলটিতে আর লেখা হয় না। সুতরাং আপনি উপরে বর্ণিত কমান্ডটি দিয়ে আবার অবরুদ্ধ আইপি দেখতে সক্ষম হবেন।
মারিও নিউবাউয়ার

9

Iptables এর সম্পূর্ণ লাইনটি দেখতে:

sudo iptables -L -n | awk '$1=="REJECT" && $4!="0.0.0.0/0"'

শুধুমাত্র আইপি ঠিকানা দেখতে:

sudo iptables -L -n | awk '$1=="REJECT" && $4!="0.0.0.0/0" {print $4}'

আপনি আপনার মামলার উপর নির্ভর করে "ড্রপ" দ্বারা "বাতিল" পরিবর্তন করতে পারেন।


6

অনুরূপ এন ই উপরোক্ত সঙ্গে kwaa এর মন্তব্য অন্তর্ভুক্ত, এই তালিকা সব আইপিগুলি:

sudo zgrep 'Ban' /var/log/fail2ban.log*

কিন্তু যে আউটপুট অনেক লাইন আছে। এটি সমস্ত লগ করা নিষিদ্ধ (এবং সম্ভবত নিষিদ্ধ) আইপির লাইন গণনা করে:

sudo zgrep 'Ban' /var/log/fail2ban.log* | wc -l

উপরের কমান্ডের (লাইন গণনা সহ) আউটপুটটি ব্যর্থ2ban এর স্থিতির আউটপুটে 'মোট নিষিদ্ধ' গণনার সাথে মেলে:

fail2ban-client status sshd

উবুন্টু 18.04.1 এলটিএসে পরীক্ষিত।

'Wc -l' লাইন থেকে আমার আউটপুট:

7244

এবং ব্যর্থ2ban এর স্থিতি থেকে, একই 7244 নম্বর যাচাই করা হয়েছে:

Status for the jail: sshd
|- Filter
|  |- Currently failed: 7
|  |- Total failed: 49457
|  `- File list:    /var/log/auth.log
`- Actions
   |- Currently banned: 9
   |- Total banned: 7244
   `- Banned IP list:   [...]

4

সবেমাত্র একটি এফওয়াইআই:

  • "মোট নিষিদ্ধ" হ'ল সেই কারাগারের জন্য নিষিদ্ধ হওয়া মোট আইপি (এবং সম্ভবত নিষিদ্ধ করা হয়েছে)।
  • "বর্তমানে নিষিদ্ধ" হ'ল কেবলমাত্র সেই আইপি যা বর্তমানে সেই কারাগারের জন্য নিষিদ্ধ ছিল (এবং আইপি তালিকা এটি নিশ্চিত করে)

আশা করি এইটি কাজ করবে.


4

যদি আপনি নিষিদ্ধ আইপি-র তালিকাটি তাদের সময়সীমা সহ দেখতে চান (সময়সীমা শেষ হওয়ার সাথে সাথে তারা নিষিদ্ধ পুল থেকে সরানো হয়) আপনি ব্যবহার করতে পারেন:

ipset list

2

এটি iptables এর চেইন ফেল2ban-ssh অংশে বর্তমানে নিষিদ্ধ (প্রত্যাশা) কী তা প্রদর্শন করবে।

sudo iptables -L fail2ban-ssh -v -n

2

আরও জেনেরিক উত্তর যুক্ত করতে:

দয়া করে নোট করুন iptables সঠিক উত্তর নাও হতে পারে এবং আপনাকে প্রাসঙ্গিক তথ্য নাও দিতে পারে (মূল পোস্টারের জন্য এটি)। এটি আপনার নিষ্ক্রিয় বা নির্দিষ্ট জেল সংজ্ঞাতে কোন নিষেধাজ্ঞার জন্য কোন মান = [ক্রিয়া] ব্যবহার করছেন তার উপর নির্ভর করে ।

আমার কাছে অনেকগুলি ছোট এআরএম চালিত বাক্স রয়েছে লিনাক্স চলমান তবে কার্নেলের সমস্ত প্রাসঙ্গিক iptables মডিউল উপলব্ধ নেই, সুতরাং iptables সেই ক্ষেত্রে কাজ করবে না।

* বিএসডির কাছে আইপটেবলগুলি নাও থাকতে পারে এবং তার পরিবর্তে পিএফ জাতীয় কিছু ব্যবহার করতে পারে ।

আমার এআরএম বাক্সগুলিতে আমি ব্লক করার জন্য রুটটি ব্যবহার করছি । এটি নিষিদ্ধ আইপিগুলির জন্য অবৈধ রুট যুক্ত করে তাই রিটার্ন প্যাকেটগুলি অনস্বীকার্য এবং আইপি মূলত অবরুদ্ধ। খুব ভাল কাজ করে। সেক্ষেত্রে আপনি নিষিদ্ধ আইপিগুলি ব্যবহার করে যাচাই করতে পারেন:

# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
# normal routing entries
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
# banned IPs (no gateway, no iface)
223.96.95.85    -               255.255.255.255 !H    0      -        0 -

নিষিদ্ধ করার জন্য আপনার কাছে অনেক বিকল্প রয়েছে। এবং তাই নিষেধাজ্ঞার তালিকা চেক করার জন্য অনেকগুলি বিকল্প। কোনটি ব্যবহার করবেন তা আপনার প্ল্যাটফর্ম এবং পছন্দের উপর নির্ভর করে। এখানে অনেকগুলি পূর্ব-কনফিগার করা ফাইল রয়েছে: /etc/fail2ban/action.d/ থেকে চয়ন করতে।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.