Quand j'ai lancé cette commande, fail2ban-client status sshd
j'ai eu ceci:
Status for the jail: sshd
|- Filter
| |- Currently failed: 1
| |- Total failed: 81
| `- File list: /var/log/auth.log
`- Actions
|- Currently banned: 2
|- Total banned: 8
`- Banned IP list: 218.65.30.61 116.31.116.7
Il ne montre que deux adresses IP dans la liste des adresses interdites au lieu de 8, comme le dit Total Banned.
Pendant ce temps, tail -f /var/log/auth.log
j'ai eu ceci:
Mar 29 11:08:40 DBSERVER sshd[29163]: error: maximum authentication attempts exceeded for root from 218.65.30.61 port 50935 ssh2 [preauth]
Mar 29 11:08:40 DBSERVER sshd[29163]: Disconnecting: Too many authentication failures [preauth]
Mar 29 11:08:40 DBSERVER sshd[29163]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.65.30.61 user=root
Mar 29 11:08:40 DBSERVER sshd[29163]: PAM service(sshd) ignoring max retries; 6 > 3
Mar 29 11:08:44 DBSERVER sshd[29165]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.65.30.61 user=root
Mar 29 11:08:46 DBSERVER sshd[29165]: Failed password for root from 218.65.30.61 port 11857 ssh2
Mar 29 11:09:01 DBSERVER CRON[29172]: pam_unix(cron:session): session opened for user root by (uid=0)
Mar 29 11:09:01 DBSERVER CRON[29172]: pam_unix(cron:session): session closed for user root
Mar 29 11:10:01 DBSERVER CRON[29226]: pam_unix(cron:session): session opened for user root by (uid=0)
Mar 29 11:10:02 DBSERVER CRON[29226]: pam_unix(cron:session): session closed for user root
Mar 29 11:10:18 DBSERVER sshd[29238]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=113.122.43.185 user=root
Mar 29 11:10:20 DBSERVER sshd[29238]: Failed password for root from 113.122.43.185 port 46017 ssh2
Mar 29 11:10:33 DBSERVER sshd[29238]: message repeated 5 times: [ Failed password for root from 113.122.43.185 port 46017 ssh2]
Mar 29 11:10:33 DBSERVER sshd[29238]: error: maximum authentication attempts exceeded for root from 113.122.43.185 port 46017 ssh2 [preauth]
Mar 29 11:10:33 DBSERVER sshd[29238]: Disconnecting: Too many authentication failures [preauth]
Mar 29 11:10:33 DBSERVER sshd[29238]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=113.122.43.185 user=root
Mar 29 11:10:33 DBSERVER sshd[29238]: PAM service(sshd) ignoring max retries; 6 > 3
Mar 29 11:11:36 DBSERVER sshd[29245]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.7 user=root
Mar 29 11:11:38 DBSERVER sshd[29245]: Failed password for root from 116.31.116.7 port 24892 ssh2
Mar 29 11:11:43 DBSERVER sshd[29245]: message repeated 2 times: [ Failed password for root from 116.31.116.7 port 24892 ssh2]
Mar 29 11:11:43 DBSERVER sshd[29245]: Received disconnect from 116.31.116.7 port 24892:11: [preauth]
Mar 29 11:11:43 DBSERVER sshd[29245]: Disconnected from 116.31.116.7 port 24892 [preauth]
Mar 29 11:11:43 DBSERVER sshd[29245]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.7 user=root
Mar 29 11:12:39 DBSERVER sshd[29247]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.7 user=root
Mar 29 11:12:41 DBSERVER sshd[29247]: Failed password for root from 116.31.116.7 port 26739 ssh2
Mar 29 11:12:45 DBSERVER sshd[29247]: message repeated 2 times: [ Failed password for root from 116.31.116.7 port 26739 ssh2]
Mar 29 11:12:45 DBSERVER sshd[29247]: Received disconnect from 116.31.116.7 port 26739:11: [preauth]
Mar 29 11:12:45 DBSERVER sshd[29247]: Disconnected from 116.31.116.7 port 26739 [preauth]
Mar 29 11:12:45 DBSERVER sshd[29247]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.7 user=root
Mar 29 11:13:41 DBSERVER sshd[29249]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.7 user=root
Mar 29 11:13:43 DBSERVER sshd[29249]: Failed password for root from 116.31.116.7 port 27040 ssh2
IP interdit toujours essayer.
Cependant, quand je vérifie, sudo iptables -L INPUT -v -n
j'ai eu ceci:
Chain INPUT (policy ACCEPT 228 packets, 18000 bytes)
pkts bytes target prot opt in out source destination
6050 435K f2b-sshd tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22
Qu'est-ce que je fais mal ici?
Comment puis-je afficher toutes les listes d'adresses IP interdites?
Merci d'avance.
bantime
. Faites-le200m
ou même plus haut puis faitessudo service fail2ban restart
et ensuitefail2ban-client status sshd
Réponses:
Veuillez garder à l’esprit que l’interdiction de la propriété intellectuelle par fail2ban est de nature temporaire.
Le meilleur moyen de consulter la liste complète des adresses IP bloquées serait de consulter le fichier journal:
La commande suivante peut également vous donner une liste épurée de règles de saisie:
la source
Pour voir la ligne complète d'iptables:
Pour afficher uniquement l'adresse IP:
Vous pouvez changer "REJECT" par "DROP", selon votre cas.
la source
Similaire à NA AE ci-dessus avec les commentaires de kwaa inclus, cela répertorie tous les IP:
mais cette sortie a tant de lignes. Cela compte les lignes de toutes les adresses IP interdites enregistrées (et probablement non interdites):
La sortie de la commande ci-dessus (avec le compte de ligne) doit correspondre au compte 'Total banni' dans la sortie d'état de fail2ban:
testé sous Ubuntu 18.04.1 LTS.
Ma sortie de la ligne 'wc -l':
Et à partir du statut de fail2ban, le même numéro 7244 est vérifié:
la source
Juste un FYI:
J'espère que ça t'as aidé.
la source
si vous voulez voir la liste des IP interdites avec leur délai d'expiration (le délai expire, elles sont supprimées du pool interdit), vous pouvez utiliser:
la source
Cela montrera ce qui est actuellement banni (REJECT) dans la partie Chain fail2ban-ssh de iptables.
la source
Pour ajouter une réponse plus générique:
S'il vous plaît noter que iptables pourrait ne pas être la bonne réponse et pourrait ne pas vous donner des informations pertinentes du tout (pour l'affiche originale c'est). Cela dépend de la valeur pour banaction = [action] que vous utilisez dans votre définition DEFAULT ou jail spécifique.
J'ai de nombreuses petites boîtes alimentées par ARM sous Linux, mais le noyau ne dispose pas de tous les modules iptables pertinents. Par conséquent, iptables ne fonctionnera pas dans ce cas.
* BSD peut ne pas avoir du tout iptables et utiliser quelque chose comme pf à la place.
Sur mes boîtes ARM, j'utilise route pour bloquer. Il ajoute une route non valide pour les adresses IP interdites et, par conséquent, les paquets en retour ne sont pas distribuables et l'adresse IP est essentiellement bloquée. Fonctionne très bien. Dans ce cas, vous pouvez vérifier les adresses IP interdites en utilisant:
Vous avez beaucoup d'options pour interdire. Et donc beaucoup d'options pour vérifier la liste d'interdiction. Lequel utiliser dépend de votre plate-forme et de vos préférences. Il existe de nombreux fichiers de configuration préconfigurés dans: /etc/fail2ban/action.d/.
la source