rebel.tux

Wielkie dzięki, źle zinterpretowałem parametr findtime - poprawiłem już to oraz zwiększyłem inne wartości. Zastanawia mnie tylko dlaczego w logach nieudanego logowania (przykładowo wynik polecenia lastb) widać tylko dwa rekordy (gdy próby logowania były trzy)?

Fakt, miałem ustawiony ten parametr na 1 dzień. Tylko dlaczego jak logowałem się błędnie z telefonu (około 3 razy w ciągu 1 minuty) to ban zostawał dodawany z miejsca? Zmieniłem findtime na wartość 60 i teraz mam takie krzaczki: admin ssh:notty 203.151.96.79 Mon Jun 6 11:00 - 11:00 (00:00) admin ssh:notty 203.151.96.79 Mon Jun 6 11:00 - 11:00 (00:00) admin ssh:notty 203.151.96.79 Mon Jun 6 11:00 - 11:00 (00:00) admin ssh:notty 203.151.96.79 Mon Jun 6 11:00 - 11:00 (00:00) admin ssh:notty 203.151.96.79 Mon Jun 6 11:00 - 11:00 (00:00) admin ssh:notty 203.151.96.79 Mon Jun 6 11:00 - 11:00 (00:00) admin ssh:notty 203.151.96.79 Mon Jun 6 10:59 - 10:59 (00:00) admin ssh:notty 203.151.96.79 Mon Jun 6 10:59 - 10:59 (00:00) admin ssh:notty 203.151.96.79 Mon Jun 6 10:59 - 10:59 (00:00) admin ssh:notty 203.151.96.79 Mon Jun 6 10:59 - 10:59 (00:00) adm ssh:notty 203.151.96.79 Mon Jun 6 10:59 - 10:59 (00:00) adm ssh:notty 203.151.96.79 Mon Jun 6 10:59 - 10:59 (00:00) adm ssh:notty 203.151.96.79 Mon Jun 6 10:59 - 10:59 (00:00) adm ssh:notty 203.151.96.79 Mon Jun 6 10:59 - 10:59 (00:00) account ssh:notty 203.151.96.79 Mon Jun 6 10:58 - 10:58 (00:00) account ssh:notty 203.151.96.79 Mon Jun 6 10:58 - 10:58 (00:00) account ssh:notty 203.151.96.79 Mon Jun 6 10:58 - 10:58 (00:00) aaron ssh:notty 203.151.96.79 Mon Jun 6 10:58 - 10:58 (00:00) aaron ssh:notty 203.151.96.79 Mon Jun 6 10:58 - 10:58 (00:00)

Witam, posiadam serwer VPS z zainstalowanym i aktywnym pakietem fail2ban. Poniżej przedstawiam zawartość pliku /etc/fail2ban/jail.d/sshd.local: [sshd] enabled = true port = ssh #action = firewallcmd-ipset logpath = %(sshd_log)s maxretry = 3 bantime = 86400 Ogólnie podczas testowania wszystko działa poprawnie - po 3 nieudanych próbach zalogowania wywala mi ban oraz widzę taki zapis jako wynik polecenia lastb: root ssh:notty 128.252.89.81 Sun Jun 5 14:27 - 14:27 (00:00) root ssh:notty 128.252.89.81 Sun Jun 5 14:27 - 14:27 (00:00) Czy może mnie ktoś oświecić dlaczego pojawiają się nieudane próby logowania z jednego adresu ip, które przekraczają ilość 2-3 rekordów? Mowa tutaj o takich perełkach: admin ssh:notty 91.224.160.10 Sun Jun 5 07:23 - 07:23 (00:00) admin ssh:notty 91.224.160.10 Sun Jun 5 07:23 - 07:23 (00:00) admin ssh:notty 91.224.160.10 Sun Jun 5 07:23 - 07:23 (00:00) admin ssh:notty 91.224.160.10 Sun Jun 5 07:23 - 07:23 (00:00) Czy to oznacza że fail2ban nie jest skuteczny? Druga sprawa, która bardzo mnie męczy to pytanie dlaczego wynik polecenia lastb zwraca tylko dwa rekordy (podczas mojego błędnego 3x logowania)? Z góry dziękuję za wszystkie odpowiedzi, pozdrawiam!