Journal Fail2ban rempli d'entrées indiquant «fail2ban.filter: AVERTISSEMENT IP déterminée à l'aide de la recherche DNS: ..»

12

Mon journal fail2ban à /var/log/fail2ban.logest complètement rempli d'entrées disant:

fail2ban.filter : WARNING Determined IP using DNS Lookup: [IP address]

Je pense que cela a peut-être commencé après avoir changé mon port ssh ...

Avez-vous une idée de la cause de cela et comment l'arrêter?

linux ubuntu log-files fail2ban ip-blocking Dirk Calloway
la source

Réponses:

10

Eu le même problème.

Solution simple: ajoutez la ligne suivante en haut de votre /etc/fail2ban/jail.conffichier, dans la [DEFAULT]section

usedns = no

Pour comprendre pourquoi votre fichier journal est rempli d'avertissements, consultez la page suivante du wiki Fail2Ban . C'est essentiellement pour empêcher les gens de manipuler l'enregistrement PTR de leurs adresses IP d'attaque pour injecter de fausses valeurs dans vos journaux.

qux
la source
1
Cela n'ouvrira-t-il pas la possibilité d'une attaque si les utilisateurs tentent de se connecter pour les origines du nom d'hôte (puisque les noms d'hôte seront simplement ignorés dans ce cas)? J'ai peut-être mal lu les documents, mais il semble que cela pourrait être une mauvaise idée.
Quinn Comendant
2
En outre, la documentation indique que la solution consiste à définir tous les services pour ne pas effectuer de recherches DNS inversées et pour enregistrer uniquement les adresses IP . L'avertissement donné par fail2ban ( IP déterminée à l'aide de la recherche DNS ) indique qu'un service enregistre les noms d'hôte. La meilleure solution consiste à déterminer de quel service il s'agit et à désactiver les recherches DNS pour celui-ci. Le réglage usedns = noarrête les avertissements et empêche le blocage des réseaux PTR usurpés, mais laisse le service qui enregistre les noms d'hôtes complètement non protégé par fail2ban.
Quinn Comendant
2

Vérifiez l'enregistrement PTR de l '[adresse IP] et comparez le nom résolu avec l'adresse IP d'origine, c'est-à-dire 

drill -x ip_address or dig -x ip_address or host ip_address

Comparez ensuite le résultat avec:

drill result or dig result or host result

Cela devrait être le même. Si ce n'est pas le cas, l'attaquant a modifié le PTR. Vous pouvez modifier la usednsdirective sur "non" ou "avertir" dans jail.conf.

plluksie
la source