[Çözüldü] Fail2ban - SSH

Başlatan smt_smt, 04 Aralık 2013 - 01:06:44

« önceki - sonraki »

0 Üyeler ve 3 Ziyaretçi konuyu incelemekte.

smt_smt

Merhaba arkadaşlar,
Fail2ban'in kurulumunu en az 4-5 yerde buldum, hepsi zaten aynı olmakla birlikte ben de aynen kurdum..
Ama ssh koruması bir türlü gerçekleşmiyor. jail.local ve jail.conf olmak üzere iki ayrı dosyada da denedim. (önce tabi localde baktım olmuyor, öyle confta denedim).
Ne yapabilrim bu sorunu çözmek için ? Kurulum anlatımlarına bakıyorum ekstra hiç bir şey yok. Ama bende olmuyor. ssh ile tekrar tekrar şifre giriyorum 6.dan sonra çok girdin diyip kapatıyor konsolu. Ama tekrar açtığımda yine bi 6 giriş hakkım doğuyor. Yani engellenmiş olmuyor o ip.. Zaten bu durumu da error logundan farkettim. 20'ye yakın başarısız girişim gördüm ve çalışmadığını anladım.

IP table ayarları mı gerekiyor nedir hiç bir fikrim yok.. kurulumlarda da ek bir şeyden bahsedilmiyor.

Nasıl çözebilirim ?
Şimdiden teşekkürler.



cagriemer

/var/log/fail2ban.log ciktisini gecer misiniz?

smt_smt

sanırım halletim çünkü kendi kendimi banladım :) ama sizin yazınız olmasa bulamazdım. Normalde error olduğu zaman servisi restart ettiğimizde çıkıyor. Neyse sizin verdiğiniz pathteki loga baktığımda hata olduğunu gördüm. Onu düzelttim başka hata çıktı. böyle giderken internetten bir tane apache-auth içeriği buldum. Fail2ban master config diye geçiyor. Link verebiliyor muyuz bu konuda bir bilgim yok o yüzde ihtiyacı olanlar için kopyala yapıştır yapıyorum:

İşin garibi bunu apache-auth'a koydum ki aldığım yerde de apache-auth olarak görünüyor. Ama ssh için sshd.conf'a bakıyor. Acaba apache-auth'taki bir hata sshd.conf'a bakmasını da engellediği için mi engelleyemiyordu ??


Ek olarak normal web üstünden login failurelarda bir engelleme yapabilir miyim  ? Yani site login kısmında ? PHP ve SQL ile 1 saat o ip'ye engelleme yapıyorum ama fail2ban ile yapılabiliyorsa onu kullanmak isterim. En azından  web sayfasını açarken o fonksiyonlar çağrılmaz. Çünkü sayfaya girerken bi fonksiyon, giriş teşebbüsünde 2 fonksiyon çalışıyor şu anki haliyle.

Şimdiden Teşekkürler



failregex = ^%(_apache_error_client)s (AH01797: )?client denied by server configuration: (uri )?\S*(, referer: \S+)?\s*$
            ^%(_apache_error_client)s (AH01617: )?user .*? authentication failure for "\S*": Password Mismatch(, referer: \S+)?$
            ^%(_apache_error_client)s (AH01618: )?user .*? not found(: )?\S*(, referer: \S+)?\s*$
            ^%(_apache_error_client)s (AH01614: )?client used wrong authentication scheme: \S*(, referer: \S+)?\s*$
            ^%(_apache_error_client)s (AH\d+: )?Authorization of user \S+ to access \S* failed, reason: .*$
            ^%(_apache_error_client)s (AH0179[24]: )?(Digest: )?user .*?: password mismatch: \S*(, referer: \S+)?\s*$
            ^%(_apache_error_client)s (AH0179[01]: |Digest: )user `.*?' in realm `.+' (not found|denied by provider): \S*(, referer: \S+)?\s*$
            ^%(_apache_error_client)s (AH01631: )?user .*?: authorization failure for "\S*":(, referer: \S+)?\s*$
            ^%(_apache_error_client)s (AH01775: )?(Digest: )?invalid nonce .* received - length is not \S+(, referer: \S+)?\s*$
            ^%(_apache_error_client)s (AH01788: )?(Digest: )?realm mismatch - got `.*?' but expected `.+'(, referer: \S+)?\s*$
            ^%(_apache_error_client)s (AH01789: )?(Digest: )?unknown algorithm `.*?' received: \S*(, referer: \S+)?\s*$
            ^%(_apache_error_client)s (AH01793: )?invalid qop `.*?' received: \S*(, referer: \S+)?\s*$
            ^%(_apache_error_client)s (AH01777: )?(Digest: )?invalid nonce .*? received - user attempted time travel(, referer: \S+)?\s*$

ignoreregex =

cagriemer

Sorun cozulduyse lutfen cozuldu etiketi ekler misiniz? Ikinci kisima gelince, ayni soruyu baska bir baslikta da sormustunuz. Orada da yapilabilecegini soylemistim. Ornek olarak apache filtrelerini kullanmayin cunku karmasiktirlar. Daha basit bir filtreyi secin. Mesela php-url-fopen.conf /etc/fail2ban/filter.d altinda bulabilirsiniz bu dosyayi. http://www.fail2ban.org/wiki/index.php/MANUAL_0_8#Filters adresine goz atip nasil yazmaniz gerektigini anlamaya calisin once. Temel mantik sizin log dosyasina bastiginiz hatayi yakalattirmak.