Fail2ban - blokowanie adresów, kłopot z logami.

[rebel.tux 0]

Witam, posiadam serwer VPS z zainstalowanym i aktywnym pakietem fail2ban. Poniżej przedstawiam zawartość pliku /etc/fail2ban/jail.d/sshd.local:

[sshd]
enabled = true
port = ssh
#action = firewallcmd-ipset
logpath = %(sshd_log)s
maxretry = 3
bantime = 86400

Ogólnie podczas testowania wszystko działa poprawnie - po 3 nieudanych próbach zalogowania wywala mi ban oraz widzę taki zapis jako wynik polecenia lastb:

root     ssh:notty    128.252.89.81    Sun Jun  5 14:27 - 14:27  (00:00)    
root     ssh:notty    128.252.89.81    Sun Jun  5 14:27 - 14:27  (00:00)    

Czy może mnie ktoś oświecić dlaczego pojawiają się nieudane próby logowania z jednego adresu ip, które przekraczają ilość 2-3 rekordów? Mowa tutaj o takich perełkach:

admin    ssh:notty    91.224.160.10    Sun Jun  5 07:23 - 07:23  (00:00)    
admin    ssh:notty    91.224.160.10    Sun Jun  5 07:23 - 07:23  (00:00)    
admin    ssh:notty    91.224.160.10    Sun Jun  5 07:23 - 07:23  (00:00)    
admin    ssh:notty    91.224.160.10    Sun Jun  5 07:23 - 07:23  (00:00)

Czy to oznacza że fail2ban nie jest skuteczny? Druga sprawa, która bardzo mnie męczy to pytanie dlaczego wynik polecenia lastb zwraca tylko dwa rekordy (podczas mojego błędnego 3x logowania)? Z góry dziękuję za wszystkie odpowiedzi, pozdrawiam!

[vjdj 4]

Za duży czas pomiędzy kolejnymi próbami?

Parametr findtime.

Edytowano Czerwiec 6, 2016 przez vjdj (zobacz historię edycji)

[rebel.tux 0]

Fakt, miałem ustawiony ten parametr na 1 dzień. Tylko dlaczego jak logowałem się błędnie z telefonu (około 3 razy w ciągu 1 minuty) to ban zostawał dodawany z miejsca? Zmieniłem findtime na wartość 60 i teraz mam takie krzaczki:

admin    ssh:notty    203.151.96.79    Mon Jun  6 11:00 - 11:00  (00:00)    
admin    ssh:notty    203.151.96.79    Mon Jun  6 11:00 - 11:00  (00:00)    
admin    ssh:notty    203.151.96.79    Mon Jun  6 11:00 - 11:00  (00:00)    
admin    ssh:notty    203.151.96.79    Mon Jun  6 11:00 - 11:00  (00:00)    
admin    ssh:notty    203.151.96.79    Mon Jun  6 11:00 - 11:00  (00:00)    
admin    ssh:notty    203.151.96.79    Mon Jun  6 11:00 - 11:00  (00:00)    
admin    ssh:notty    203.151.96.79    Mon Jun  6 10:59 - 10:59  (00:00)    
admin    ssh:notty    203.151.96.79    Mon Jun  6 10:59 - 10:59  (00:00)    
admin    ssh:notty    203.151.96.79    Mon Jun  6 10:59 - 10:59  (00:00)    
admin    ssh:notty    203.151.96.79    Mon Jun  6 10:59 - 10:59  (00:00)    
adm      ssh:notty    203.151.96.79    Mon Jun  6 10:59 - 10:59  (00:00)    
adm      ssh:notty    203.151.96.79    Mon Jun  6 10:59 - 10:59  (00:00)    
adm      ssh:notty    203.151.96.79    Mon Jun  6 10:59 - 10:59  (00:00)    
adm      ssh:notty    203.151.96.79    Mon Jun  6 10:59 - 10:59  (00:00)    
account  ssh:notty    203.151.96.79    Mon Jun  6 10:58 - 10:58  (00:00)    
account  ssh:notty    203.151.96.79    Mon Jun  6 10:58 - 10:58  (00:00)    
account  ssh:notty    203.151.96.79    Mon Jun  6 10:58 - 10:58  (00:00)    
aaron    ssh:notty    203.151.96.79    Mon Jun  6 10:58 - 10:58  (00:00)    
aaron    ssh:notty    203.151.96.79    Mon Jun  6 10:58 - 10:58  (00:00)    

Edytowano Czerwiec 6, 2016 przez rebel.tux (zobacz historię edycji)

[theONE 526]

No zmieniłeś na minutę więc masz co 60 sekund.

 

Jak pamiętam to sa zakończone próby logowania więc jak otworzą jednocześnie 5 sesji ssh zanim f2b zacznie działać to tak może log wyglądać.

[kori 29]

Czemu taki krótki czas sprawdzania? Ja bym dał conajmniej godzinę.

By jacyś kombinatorzy mieli utrudnione próby. Sam mam jedna próba, 3dni, roczny ban.

Edytowano Czerwiec 6, 2016 przez kori (zobacz historię edycji)

[rebel.tux 0]

Wielkie dzięki, źle zinterpretowałem parametr findtime - poprawiłem już to oraz zwiększyłem inne wartości. Zastanawia mnie tylko dlaczego w logach nieudanego logowania (przykładowo wynik polecenia lastb) widać tylko dwa rekordy (gdy próby logowania były trzy)?