Vérifiez que fail2ban est en cours d'exécution?

11

Je viens d'installer et de configurer fail2ban. Je veux m'assurer que cela fonctionne. Je ne veux pas me bloquer du serveur, je ne peux donc pas me connecter (mal) plusieurs fois. Comment puis-je voir que fail2ban fonctionne?

networking security process bernie2436
la source
1
essayez cecisudo fail2ban-client status
NineCattoRules
Vous devriez envisager de sélectionner une bonne réponse.
Jacob

Réponses:

6

Tapez simplement:

/etc/init.d/fail2ban start

puis pour connaître l'état du type fail2ban:

/etc/init.d/fail2ban status

comme nous le savons, tous les services sont disponibles en /etc/init.d/.

abdus
la source
1
Cela indique si le service est en cours d'exécution . Il ne montre pas s'il fait ce qu'il est censé faire.
Jenny D
1
Vrai, cette commande montre simplement que le service est en cours d'exécution. Mais cela est également utile. Le titre dit "Vérifier que fail2ban est en cours d'exécution?". Plutôt que de dévaloriser cette réponse, peut-être suggérer que OP change le titre de la question.
Charlie
systemctl status fail2bansemble produire la même information, pour ceux d'entre nous qui ont l'habitude d'utiliser systemctl.
user3.1415927
2

Pour une première vérification rapide, regardez si fail2ban a ajouté des règles iptables:

sudo iptables -L f2b-sshd

C'est ce que j'ai obtenu comme résultat:

target     prot opt source               destination
REJECT     all  --  mgt.pnu.ac.th        anywhere             reject-with icmp-port-unreachable
REJECT     all  --  plex1.domin8.media   anywhere             reject-with icmp-port-unreachable
REJECT     all  --  218.92.0.197         anywhere             reject-with icmp-port-unreachable
REJECT     all  --  223.68.10.247        anywhere             reject-with icmp-port-unreachable
REJECT     all  --  promote.cache-dns.local  anywhere             reject-with icmp-port-unreachable
RETURN     all  --  anywhere             anywhere

Il semble que mon serveur suscite un certain intérêt. ;)

andreas
la source
1

Rendez simplement le port 22 accessible à Internet (bien sûr, après avoir durci la clé publique) et vous verrez les journaux se remplir.

Maintenant, je recommanderais d'utiliser un proxy / tunnel pour tester cela, transférez simplement la connexion ssh via ce proxy et ne parvenez pas à vous connecter quelques fois. Cela devrait suffire.

Ne faites pas cela depuis votre propre système!

Vous pouvez être enfermé à l'extérieur avec les clés à l'intérieur de la voiture.

Braiam
la source
1
yup, une fois que votre port ssh standard est accessible au public, les robots vont frapper. Laissez-le fonctionner quelques heures et vérifiez le fichier journal fail2ban, je suis sûr que vous aurez des adresses (principalement chinoises) d'ici là.
Jake
0

Demandez à un ami d'essayer de se connecter ou d'utiliser un smartphone, ou allez dans un hotspot public et essayez à partir de là, ou lixiviez Internet de vos voisins, ou attendez simplement que certains scriptkiddo essaient de se connecter.

Il y a plusieurs façons, mais elles impliquent toutes "faites-le" ...

Wouter Verhelst
la source