Не работает (по моему) fail2ban
Re: Не работает (по моему) fail2ban
Да, я так же обновлялся.
Re: Не работает (по моему) fail2ban
Также 9.3 из коробки.ogloblya wrote:Тоже проблема с fail2ban. CentOS 7.2
При установке не видно банов, в логах видно не вооруженным взглядом что брутят. Что сделал:
1. Переустановил fail2ban из инструкции Vesta https://vestacp.com/docs/#how-to-instal ... hel-centos - получилась версия 9.3 (странно на сайте fail2ban указана стабильная версия 9.4 и вышла 10 версия, где хвастаются что скорость упомрачительная все летает банит умно так, что логи вообще пустые) и стали баниться попытки по SSH
Т.е. у Вас он работает, но мало логов обрабатывает?
Давайте посмотрим jail.local и вывод fail2ban-client status. Из коробки мало логов обрабатывается.
Re: Не работает (по моему) fail2ban
Немного не понял что вы от меня хотите. Чито смотреть то, что в лосале прописал то в статусе и показывает Но это не означает что оно работает :) на самом деле оно может совсем не работать, если бы случайно тему на английском языке не нашел с правками фильтров довекота и екзима ... то до сих пор думал бы что эти логи обрабатываются.Brainstem wrote:Т.е. у Вас он работает, но мало логов обрабатывает?
Давайте посмотрим jail.local и вывод fail2ban-client status. Из коробки мало логов обрабатывается.
По ДНС какие то запросы летят, в логах написано варнинг но в бан не заносит :(
Re: Не работает (по моему) fail2ban
Хотел посмотреть какие фильтры Вы подключаете, и подключаются ли они. Если подключаются, то надо смотреть сам фильтр. Хотя я вижу, что Вы и сами разобрались.ogloblya wrote:Но это не означает что оно работает :) на самом деле оно может совсем не работать, если бы случайно тему на английском языке не нашел с правками фильтров довекота и екзима ... то до сих пор думал бы что эти логи обрабатываются.
По ДНС какие то запросы летят, в логах написано варнинг но в бан не заносит :(
А как прописано правило ДНС в jail.local? Если нет бана, то может быть проблема с экшеном.
Не использую - dns (с внешним проще), ftp (ssh есть для этого), почту (все ящики прекрасно могут жить в другом месте, только отправка с сервера). Порты все закрыты. Такая вот стратегия - веб отдельно, а все остальное отдельно. Поэтому конфиг как у Вас негде посмотреть.
Re: Не работает (по моему) fail2ban
А правила для ДНС нет еще в локале ...... думал что дефолтные правила будут банить, а там ведь нет актиона на весту .... вот я "молодец", спасибо за подсказку, завтра допилю правило. У самого ДНС внешние и почта там же .... поэтому в глаза и бросились надписи про ДНС (хотелось в будущес на свои nsы уйти) но что то подсказывает надо удалить днс сервер и не мучить железо.Brainstem wrote:А как прописано правило ДНС в jail.local? Если нет бана, то может быть проблема с экшеном.
Не использую - dns (с внешним проще), ftp (ssh есть для этого), почту (все ящики прекрасно могут жить в другом месте, только отправка с сервера). Порты все закрыты. Такая вот стратегия - веб отдельно, а все остальное отдельно. Поэтому конфиг как у Вас негде посмотреть.
Re: Не работает (по моему) fail2ban
У Весты есть цепочка DNS (rules.conf). Если поднята (chains.conf), то можно использовать по аналогии с правилами из коробки action=vesta[name=DNS], тогда баны увидите в banlist.conf, ну и в панели, соответственно. Сам намучался с настройками пока разобрался - может кому поможет.ogloblya wrote: завтра допилю правило. У самого ДНС внешние и почта там же .... поэтому в глаза и бросились надписи про ДНС (хотелось в будущес на свои nsы уйти) но что то подсказывает надо удалить днс сервер и не мучить железо.
Да, днс удалить - вполне разумно. Из почты оставить один exim. Порты прибить. Я раньше тоже свои днс ставил - ресурсы ел, включая собственное время. А сейчас обычно пользую днс хостинга и яндекса. У них возможностей поболее, чем у меня. :)
Re: Не работает (по моему) fail2ban
Распишите пожалуйста подробнее, не смог что то разобраться в этом предложении. :(Brainstem wrote:У Весты есть цепочка DNS (rules.conf). Если поднята (chains.conf), то можно использовать по аналогии с правилами из коробки action=vesta[name=DNS], тогда баны увидите в banlist.conf, ну и в панели, соответственно.
Re: Не работает (по моему) fail2ban
Веста сама определяет какие цепочки использовать - rules.conf. Чтобы использовать нужные цепочки не из коробки - правил chains.conf. Если в chains.conf нет нужной цепочки - fail2ban не работал.ogloblya wrote: Распишите пожалуйста подробнее, не смог что то разобраться в этом предложении. :(
Снес Весту, поэтому буду на память.
Сделайте сюда вывод rules.conf и chains.conf. Посмотрим, что нужно добавить.
В banlist.conf Веста пишет для отображения IP с банами - наверное для отображения в панели и возможно, другой логики. Вывод не нужен - нужен для контроля работы Весты.
В jail.local есть правила из коробки - сделайте вывод. Покажу, как создать новое по аналогии, чтобы работало.
Re: Не работает (по моему) fail2ban
Примерно вот такие правила:Brainstem wrote: Вывод не нужен - нужен для контроля работы Весты.
В jail.local есть правила из коробки - сделайте вывод. Покажу, как создать новое по аналогии, чтобы работало.
[ssh-iptables]
enabled = true
filter = ssd
action = vesta[name=ssh]
logpath = /var/log/secure
maxretry = 5
findtime = 1200
bantime = 86400