我已经安装了Fail2ban并试图让它阻止IP。根据日志,它检测SSH扫描并将IP地址添加到禁止列表中,但我仍然可以从禁止列表中的互联网上的测试IP进行SSH输入。
OS = openSUSE Leap 42.2
失败2禁令 v0.10.3
监狱本地:
[DEFAULT]
ignoreip = 127.0.0.1/8 192.168.1.0/24
ignorecommand =
bantime = 1d
findtime = 600
maxretry = 3
[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
abuseipdb[abuseipdb_apikey="my_key", abuseipdb_category="18,22"]
logpath = /var/log/messages
maxretry = 3
正在拾取 IP 地址并说它已经被禁止? 失败2ban.log文件:
2018-05-01 15:21:59,207 fail2ban.filter [20450]: INFO [ssh-iptables] Found x.x.x.x - 2018-05-01 15:21:59
2018-05-01 15:22:02,315 fail2ban.filter [20450]: INFO [ssh-iptables] Found x.x.x.x - 2018-05-01 15:22:02
2018-05-01 15:22:02,324 fail2ban.filter [20450]: INFO [ssh-iptables] Found x.x.x.x - 2018-05-01 15:22:02
2018-05-01 15:22:02,364 fail2ban.actions [20450]: NOTICE [ssh-iptables] x.x.x.x already banned
失败2ban-client status ssh-iptables 的状态
Status for the jail: ssh-iptables
|- Filter
| |- Currently failed: 1
| |- Total failed: 51
| `- File list: /var/log/messages
`- Actions
|- Currently banned: 47
|- Total banned: 437
IP 表的输出:
Chain INPUT (policy ACCEPT)
target prot opt source destination
f2b-SSH tcp -- anywhere anywhere tcp dpt:ssh
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain f2b-SSH (1 references)
target prot opt source destination
除此之外,没有任何东西被发送到滥用IPDB。 我错过了什么吗?
我已经阅读了一些论坛,但似乎无法让它工作。
设法让它工作。重新启动 fail2ban 修复了阻塞问题。奇怪的是,我做了一个失败的2ban客户端重新加载,这没有帮助。不得不杀死并重新启动服务。
Abuseipdb 已通过更改 jail.local 文件修复
action = iptables[name=SSH, port=ssh, protocol=tcp]
abuseipdb[abuseipdb_category="18,22"]
首先确保 fail2ban 在 v0.10.0 版本中,要知道这个输入:
fail2ban-client -V
https://www.abuseipdb.com 的报告功能仅是此版本的本机功能。
如果您有以前的版本,则应执行以下操作:
sudo nano /etc/fail2ban/action.d/abuseipdb.conf
将链接 https://github.com/fail2ban/fail2ban/blob/0.11/config/action.d/abuseipdb.conf 的内容粘贴到文件中并保存。
然后打开/etc/fail2ban/jail.local 并在包含操作 =% (action_( 的行之前粘贴以下内容:
# Report ban via abuseipdb.com.
#
# See action.d / abuseipdb.conf for usage example and details.
#
action_abuseipdb = abuseipdb
然后在 jail 中加入对应您要举报的服务的内容(这里我以残酷的武力 ssh 为例(:
# Ban IP and report to AbuseIPDB for SSH Brute-Forcing
action =% (action_) s
% (action_abuseipdb) s [abuseipdb_apikey = "my-api-key", abuseipdb_category = "18,22"]
用您在网站上创建的密钥填写"my-api-key"abuseipdb,然后
fail2ban-client reload
如果您有任何疑问,参考资料在这里:
https://www.abuseipdb.com/fail2ban.html