fail2ban 3 maxretry আছে কিন্তু আমি প্রমাণীকরণ ব্যর্থতা 5 বার পুনরাবৃত্তি দেখুন

আমি উফুটু 16.04 চালাচ্ছি ইউএসএফের মাধ্যমে এসএসএস সক্ষম করে এবং ফায়ার 2 কনফিগার করেছি কনফিগার করার জন্য [sshd] এবং [sshd-ddos] কারাগারগুলিকে সর্বাধিক 3 দিয়ে (যেমন আমি 3 বার প্রমাণীকরণ করতে ব্যর্থ যে কোন ips নিষিদ্ধ করতে চাই)। যখন আমি auth লগটি দেখি তখন আমি কয়েকটি ভিন্ন ips দেখি যা 5 বার প্রমাণীকরণ করতে ব্যর্থ হয়েছে এবং তাই অনেক প্রমাণীকরণ ব্যর্থতার জন্য সংযোগ বিচ্ছিন্ন হয়েছে। কেন এই ips নিষিদ্ধ হচ্ছে না? আমি সম্পূর্ণরূপে প্রত্যাশা করছি যে আমি either failed2ban misconfigured করেছি অথবা আমি এর উদ্দেশ্যে আচরণ ভুল বুঝি, কিন্তু যে টিউটোরিয়ালগুলি আমি পড়েছি তা থেকে (ডিজিটালোয়াস, অন্যান্য অনুসন্ধান ফলাফল) এই কনফিগারেশনটি আমি যা আশা করি তা করা উচিত। Fail2ban সফলভাবে কিছু ips নিষিদ্ধ করা হয়েছে তা নোট করুন, কারণ আমি fail2ban লগে নিষেধাজ্ঞা (এবং unbans) দেখতে পাচ্ছি।

ইস্যুগুলির সাথে আইপি ঠিকানার একটিতে প্রাসঙ্গিক লগ লাইন এখানে রয়েছে (আইপি এবং হোস্ট পুনঃনির্দেশিত):

"/Var/log/fail2ban.log"

2017-02-17 13:23:36,148 fail2ban.filter         [24793]: INFO    [sshd] Found [ip address]
2017-02-17 13:23:38,153 fail2ban.filter         [24793]: INFO    [sshd] Found [ip address]

"/Var/log/auth.log"

Feb 17 13:23:36 [host] sshd[15498]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=[ip address]  us
er=root
Feb 17 13:23:38 [host] sshd[15498]: Failed password for root from [ip address] port 9498 ssh2
Feb 17 13:23:49 [host] sshd[15498]: message repeated 5 times: [ Failed password for root from [ip address] port 9498 ssh2]
Feb 17 13:23:49 [host] sshd[15498]: error: maximum authentication attempts exceeded for root from [ip address] port 9498 ssh2 [preauth]
Feb 17 13:23:49 [host] sshd[15498]: Disconnecting: Too many authentication failures [preauth]
Feb 17 13:23:49 [host] sshd[15498]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=[ip address]  user=root
Feb 17 13:23:49 [host] sshd[15498]: PAM service(sshd) ignoring max retries; 6 > 3

এখানে আমার fail2ban কনফিগারেশন থেকে প্রাসঙ্গিক (নোট মন্তব্য) লাইন রয়েছে, যা বেশিরভাগই জেলে.conf থেকে সরাসরি কপি, বান্টাইম, ফাইলেটাইম এবং maxretry defaults, এবং [sshd], [sshd-ddos] এবং [recidive] কারাগারগুলির সাথে সরাসরি কপি। সক্ষমিত:

"/Etc/fail2ban/jail.local"

[DEFAULT]

ignoreip = 127.0.0.1/8
bantime = 21600
findtime = 3600
maxretry = 3
backend = auto
usedns = warn
logencoding = auto
enabled = false
filter = %(__name__)s
destemail = root@localhost
sender = root@localhost
mta = sendmail
protocol = tcp
chain = INPUT
port = 0:65535
banaction = iptables-multiport
action_ = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
action_mw = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
            %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"]
action_mwl = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
             %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s"]
action_xarf = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
             xarf-login-attack[service=%(__name__)s, sender="%(sender)s", logpath=%(logpath)s, port="%(port)s"]
action_cf_mwl = cloudflare[cfuser="%(cfemail)s", cftoken="%(cfapikey)s"]
                %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s"]
action_blocklist_de  = blocklist_de[email="%(sender)s", service=%(filter)s, apikey="%(blocklist_de_apikey)s"]
action_badips = badips.py[category="%(name)s", banaction="%(banaction)s"]

[sshd]

enabled = true
port    = ssh
logpath = %(sshd_log)s

[sshd-ddos]
# This jail corresponds to the standard configuration in Fail2ban.
# The mail-whois action send a notification e-mail with a whois request
# in the body.
enabled = true
port    = ssh
logpath = %(sshd_log)s

[recidive]

enabled  = true
logpath  = /var/log/fail2ban.log
banaction = iptables-allports
bantime  = 604800  ; 1 week
findtime = 86400   ; 1 day
maxretry = 5

আরও তদন্ত:

sudo fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d

লগ ফাইলটি /var/log/auth.log হিসাবে সঠিক লাইন: 1127 লাইন, 0 উপেক্ষা করা হয়েছে, 125 মিলিত হয়েছে, 100২ মিস করেছে [1.77 সেকেন্ডে প্রক্রিয়াভুক্ত]

sudo iptables -L-N | কম

আমি কিছু নিষিদ্ধ ips (REJECT সহ) "চেইন f2b-sshd (1 রেফারেন্স)" এর অধীনে দেখতে পারি "

ssh fail2ban

— Bucket Mouse
সূত্র

Fail2ban শুধুমাত্র স্ট্যান্ডার্ড বিন্যাসে লগগুলি দেখায় এবং কয়েকটি সময় ফ্রেমের মধ্যে কতগুলি লোগো উপস্থিত হয় তা গণনা করে। এছাড়াও আপনার syslog সমষ্টিগত ফর্মগুলিতে একই লগগুলিকে মার্জ করা হচ্ছে, যা এই প্যারিসিংকে আটকায়:

Feb 17 13:23:49 [host] sshd[15498]: message repeated 5 times: [ Failed password for root from [ip address] port 9498 ssh2]

সাধারণত প্রমাণীকরণ ব্যর্থতা একটি সংযোগ হিসাবে প্রমাণিত হয় যা অনুমোদন করতে ব্যর্থ হয়েছে। কিন্তু এই একক সংযোগটিতে "পাসওয়ার্ড প্রমাণীকরণ প্রচেষ্টা" থাকতে পারে (ক্লায়েন্টের কনফিগারেশনে কতগুলি নির্ভর করে NumberOfPasswordPrompts এবং সার্ভার MaxAuthTries )।

যখন আপনি সেট আপ fail2ban, কীভাবে জিনিসগুলি কাজ করে এবং সেখানে কোনও নীতি নির্ধারণ করার সময় তা জানার পক্ষে ভাল, এটি কী অর্থ করে তা জানার জন্য। এই ক্ষেত্রে, এটি প্রত্যাশিত আচরণ এবং আপনি যদি প্রমাণীকরণের প্রচেষ্টাগুলি আরও সীমিত করতে চান তবে আপনাকে কনফিগারেশনটি সামঞ্জস্য করতে হবে sshd।

— Jakuje
সূত্র

ধন্যবাদ, এটি আমার বিভ্রান্তি সাফ করে :) লগিংয়ের সমষ্টিগত রূপটি আমাকে বিরক্ত করে এমন পার্সিংকে বাধা দেয় - যা প্রতিফলনকে স্পষ্ট বলে মনে করা উচিত, কিন্তু এটি ছিল না! আংশিকভাবে কারণে (একটি পৃথক সার্ভারে) 3 ব্যর্থ প্রমাণীকরণ প্রচেষ্টা পরে নিজেকে লক করা হচ্ছে।

— Bucket Mouse