BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 8 ] 
Автор Сообщение
 Заголовок сообщения: fail2ban не отрабатывает.
СообщениеДобавлено: Ср 16 мар, 2016 5:45 pm 
Не в сети

Зарегистрирован: Ср 24 июл, 2013 12:46 pm
Сообщения: 34
Доброго времени суток.
Постараюсь коротко и ясно.
Код:
 uname -a
FreeBSD 10.2-RELEASE FreeBSD 10.2-RELEASE #0 r286666: Wed Aug 12 19:31:38 UTC 2015     root@releng1.nyi.freebsd.org:/usr/obj/usr/src/sys/GENERIC  i386

fail2ban 0.9.3
в
Код:
fail2ban/filter.d/sshd.conf

Код:
[Definition]

_daemon = sshd

failregex = ^%(__prefix_line)s(?:error: PAM: )?[aA]uthentication (?:failure|error) for .* from <HOST>( via \S+)?\s*$
            ^%(__prefix_line)s(?:error: PAM: )?User not known to the underlying authentication module for .* from <HOST>\s*$
            ^%(__prefix_line)sFailed \S+ for .*? from <HOST>(?: port \d*)?(?: ssh\d*)?(: (ruser .*|(\S+ ID \S+ \(serial \d+\) CA )?\S+ %(__md5hex)s(, client user ".*", client host ".*")?))?\s*$
            ^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>\s*$
            ^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from <HOST>\s*$
            ^%(__prefix_line)sUser .+ from <HOST> not allowed because not listed in AllowUsers\s*$
            ^%(__prefix_line)sUser .+ from <HOST> not allowed because listed in DenyUsers\s*$
            ^%(__prefix_line)sUser .+ from <HOST> not allowed because not in any group\s*$
            ^%(__prefix_line)srefused connect from \S+ \(<HOST>\)\s*$
            ^%(__prefix_line)sReceived disconnect from <HOST>: 3: \S+: Auth fail$
            ^%(__prefix_line)sUser .+ from <HOST> not allowed because a group is listed in DenyGroups\s*$
            ^%(__prefix_line)sUser .+ from <HOST> not allowed because none of user's groups are listed in AllowGroups\s*$
            ^(?P<__prefix>%(__prefix_line)s)User .+ not allowed because account is locked<SKIPLINES>(?P=__prefix)(?:error: )?Received disconnect from <HOST>: 11: .+ \[preauth\]$
            ^(?P<__prefix>%(__prefix_line)s)Disconnecting: Too many authentication failures for .+? \[preauth\]<SKIPLINES>(?P=__prefix)(?:error: )?Connection closed by <HOST> \[preauth\]$
            ^(?P<__prefix>%(__prefix_line)s)Connection from <HOST> port \d+(?: on \S+ port \d+)?<SKIPLINES>(?P=__prefix)Disconnecting: Too many authentication failures for .+? \[preauth\]$
            ^%(__prefix_line)spam_unix\(sshd:auth\):\s+authentication failure;\s*logname=\S*\s*uid=\d*\s*euid=\d*\s*tty=\S*\s*ruser=\S*\s*rhost=<HOST>\s.*$
            ^%(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$
            ^%(__prefix_line)s(?:error: PAM: )?User not known to the underlying authentication module for .* from <HOST>\s*$
            ^%(__prefix_line)sFailed (?:password|publickey) for .* from <HOST>(?: port \d*)?(?: ssh\d*)?\s*$
            ^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>\s*$
            ^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from <HOST>\s*$
            ^%(__prefix_line)sUser .+ from <HOST> not allowed because not listed in AllowUsers\s*$
            ^%(__prefix_line)sUser .+ from <HOST> not allowed because listed in DenyUsers\s*$
            ^%(__prefix_line)s(?:pam_unix\(sshd:auth\):\s)?authentication failure; logname=\S* uid=\S* euid=\S* tty=\S* ruser=\S* rhost=<HOST>(?:\s+user=.*)?\s*$
            ^%(__prefix_line)srefused connect from \S+ \(<HOST>\)\s*$
            ^%(__prefix_line)sAddress <HOST> .* POSSIBLE BREAK-IN ATTEMPT!*\s*$
            ^%(__prefix_line)sUser .+ from <HOST> not allowed because none of user's groups are listed in AllowGroups\s*$
ignoreregex =

[Init]

# "maxlines" is number of log lines to buffer for multi-line regex searches
maxlines = 10

в jail.conf
Код:
[sshd]
enable   = true
port     = 22
logpath  = /var/log/auth.log
action   = pf[ban]
maxretry = 2
bantime  = 360
filter = sshd

в pf.conf
Код:
table <ban> persist

pass in on $int_if proto tcp to port 22 flags S/SA keep state (max-src-conn-rate 10/60, overload <ban> flush global)

И что то конект проходит на консоль сколько угодно
Скажите что куда можно капнуть ?
Спасибо.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: fail2ban не отрабатывает.
СообщениеДобавлено: Ср 16 мар, 2016 7:49 pm 
Не в сети

Зарегистрирован: Вт 18 сен, 2007 10:26 am
Сообщения: 900
Откуда: СССР, Красноярск
а что в:
Код:
/usr/local/etc/fail2ban/action.d/pf.conf
?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: fail2ban не отрабатывает.
СообщениеДобавлено: Ср 16 мар, 2016 9:03 pm 
Не в сети

Зарегистрирован: Ср 24 июл, 2013 12:46 pm
Сообщения: 34
Код:
[Definition]
actionstart =
actionstop =
actioncheck =
actionban = /sbin/pfctl -t <tablename> -T add <ip>/32
actionunban = /sbin/pfctl -t <tablename> -T delete <ip>/32
[Init]
tablename = ban


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: fail2ban не отрабатывает.
СообщениеДобавлено: Ср 16 мар, 2016 9:25 pm 
Не в сети

Зарегистрирован: Вт 18 сен, 2007 10:26 am
Сообщения: 900
Откуда: СССР, Красноярск
Вообще-то настраивается jail.local, т.к. jail.conf будет перезаписываться при обновлении.
В нём укажите
[sshd]
enabled = true

ниже для ssh я оставлял всё по-умолчанию. Ниже, где секция:
#
# ACTIONS
#
у меня:
#
# Action shortcuts. To be used to define action parameter

# Default banning action (e.g. iptables, iptables-new,
# iptables-multiport, shorewall, etc) It is used to define
# action_* variables. Can be overridden globally or per
# section within jail.local file
banaction = pf


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: fail2ban не отрабатывает.
СообщениеДобавлено: Ср 16 мар, 2016 9:39 pm 
Не в сети

Зарегистрирован: Ср 24 июл, 2013 12:46 pm
Сообщения: 34
Спасибо огромное за время потраченное на мой вопрос. ваш совет правильный,параллельно нашел и заработало по этому http://blog.alteroot.org/articles/2014-06-14/fail2ban-on-freebsd.html


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: fail2ban не отрабатывает.
СообщениеДобавлено: Вс 15 окт, 2017 11:44 pm 
Не в сети

Зарегистрирован: Вт 18 сен, 2007 10:26 am
Сообщения: 900
Откуда: СССР, Красноярск
С новым, py27-fail2ban-0.10.1 кто-то разобрался?
Не могу воткнуть как в примере:
Код:
also, these rulesets are loaded into (nested) anchors
# to enable them, add
#     anchor f2b {
#        name1
#        name2
#        ...
#     }
# to your main pf ruleset, where "namei" are the names of the jails

якоря в pf.conf.
Как правильно?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: fail2ban не отрабатывает.
СообщениеДобавлено: Пн 16 окт, 2017 12:22 am 
Не в сети

Зарегистрирован: Вт 18 сен, 2007 10:26 am
Сообщения: 900
Откуда: СССР, Красноярск
По крайней мере нашёл, что нужно:
Код:
     anchor f2b {
        anchor name1
        anchor name2
        ...
     }


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: fail2ban не отрабатывает.
СообщениеДобавлено: Ср 18 окт, 2017 11:14 am 
Не в сети

Зарегистрирован: Вт 18 сен, 2007 10:26 am
Сообщения: 900
Откуда: СССР, Красноярск
Подсказали в рассылке freebsd.ports (https://lists.freebsd.org/pipermail/freebsd-ports/2017-October/110730.html):
Цитата:
I have it working now.
Put into your pf.conf where the rules from fail2ban be added the line:
# Anchor for fail2ban
anchor "f2b/*"

In your jail.local:
[DEFAULT]
banaction = pf[actiontype=<allports>]

The rest you can keep on standard. Just add and enable your jails into fail2ban that should run.
This configuration will block all connections from the IP. If you want to only specific on some ports you can use another actiontype, but there is another bug that will cause this not to work in 0.10.1.

Gruß,
Matthias

У меня так заработало.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 8 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика