Ниже приведены результаты журнала fail2ban. Больше ничего не появляется, но в auth.log я вижу сотни неудачных попыток входа в систему для пользователя root (кто-то не умеет брутфорсировать).
2011-07-06 01:48:16,249 fail2ban.server : INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.3
2011-07-06 01:48:16,250 fail2ban.jail : INFO Creating new jail 'ssh'
2011-07-06 01:48:16,250 fail2ban.jail : INFO Jail 'ssh' uses poller
2011-07-06 01:48:16,251 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2011-07-06 01:48:16,252 fail2ban.filter : INFO Set maxRetry = 3
2011-07-06 01:48:16,253 fail2ban.filter : INFO Set findtime = 600
2011-07-06 01:48:16,253 fail2ban.actions: INFO Set banTime = 600
2011-07-06 01:48:16,329 fail2ban.jail : INFO Jail 'ssh' started
Почему он их не блокирует? Я ничего не менял (кроме maxRetry) в конфигурациях - я просто установил его на свой Linux Debian Lenny, и он запустился, но никого не блокирует. : /
Что я мог сделать, чтобы это исправить?
Могу поделиться некоторыми атаками:
Jul 6 01:02:24 tornado sshd[19768]: Failed password for root from 200.63.212.41 port 43457 ssh2
Jul 6 01:02:26 tornado sshd[19771]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=www.gamavision.com user=root
Jul 6 01:02:27 tornado sshd[19771]: Failed password for root from 200.63.212.41 port 43565 ssh2
Jul 6 01:02:29 tornado sshd[19773]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=www.gamavision.com user=root
Jul 6 01:02:31 tornado sshd[19773]: Failed password for root from 200.63.212.41 port 43662 ssh2
Jul 6 01:02:32 tornado sshd[19775]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=www.gamavision.com user=root
Кстати, меняет ли это что-то, что время сервера на 1 час отключено, как я вижу? ; D
Редактировать:
Status for the jail: ssh
|- filter
| |- File list: /var/log/auth.log
| |- Currently failed: 0
| `- Total failed: 0
`- action
|- Currently banned: 0
| `- IP list:
`- Total banned: 0
До того, как я установил fail2ban в auth.log, я заметил такие строки:
reverse mapping checking getaddrinfo for server1.intensevps.com [94.75.242.39] failed - POSSIBLE BREAK-IN ATTEMPT!
Может быть, fail2ban конфликтует с чем-то другим? Я просто не знаю, что это за штука, которая обнаружила возможную поломку. Теперь он ничего не обнаруживает после установки fail2ban.
У меня была точно такая же проблема. На самом деле время не синхронизировалось.
dpkg-reconfigure tzdata
cp /usr/share/zoneinfo/Europe/Paris /etc/localtime
vim /etc/rsyslog.conf
#see all messages
$RepeatedMsgReduction off
service rsyslog restart
Попробуйте установить для параметра «logpath» значение «/ var / log / secure».
Для правильной работы необходимо включить отказ от блокировки. Просто запустите "service fail2ban start"