|
|
[ fade @ 02.06.2010. 13:34 ] @
|
| Posto imam sve vecu gomila brute force napada, resih da sklepam ovaj fail2ban
Dok sam podesavao neke opcije za ssh, testirao sam podesavanja i stavi ban da bude 5 minuta,sredio sve opcije i onda prebacio 6 sati.
Problem je sledeci, ako stavim 5 minuta, host bude banovan posle 5 neuspelih pokusaja da se uloguje, fail2ban pokazuje da je host banovan, ip se nalazi u iptables.
Posle 5 minuta, fail2ban brise ip, iptables cist.
Ako stavim bilo sta vece od 10 minuta, problem je sledeci, posle 5 neuspelih pokusaja, fail2ban blokira ip, ubaci adresu u iptables.
Po isteku 10 minuta, unos iz iptables-a se brise, ali fail2ban jos uvek prikazuje kako je taj ip blokiran, tako da je masina opet ranjiva.
Da li je neko imao slican problem, i nacin da se to resi?
Inace fail2ban koristi jedino iptables koliko sam shvatio, sa dosta opcija koje se podesavaju posebno u conf fajlu za mail, ssh,ftp, itd.
Do sada je radio kako treba sa vremenom od 10 ili manje minuta, preko toga nece nikako.
Ako stopiram, pa onda startujem ponovo, ip adresa ce biti ucitana u iptables ponovo,ali se opet brise posle 10 minuta.
Fajl koji koristi za proveru je /var/log/secure, u podesavanjima nisam nesto posebno menjao, dodao sam samo bantime da bude 6 sati, ugasio slanje maila i to je to.
Njegov conf fajl mi nije bas bio od pomoci u ovom slucaju |
[ fade @ 02.06.2010. 20:56 ] @
Dakle, selinux uskracuje pravo iptables-u da produzi trajanje bana koliko sam shvatio, je se ne znam zasto automatski brize posle 10 minuta, fail2ban pokusava da produzi, ali ga famozni selinux uskrati tog zadovoljstva.
Sto je jos cudnije, selinux nastavlja da forsira to pravilo iako ga stavim da bude ugasen.
Probacu sutra da stavim izuzetak samo za iptables, ali su uneli neke promene u selinux, koje otezavaju postavljanje takvih pravila, pa cu morati da loadujem modul.
JAvljam se sutra sa rezultatima.
[ combuster @ 02.06.2010. 21:27 ] @
Joj, SELinux i njegove polise, brrrrrr... :D
[ Stator @ 03.06.2010. 12:10 ] @
Citat: fade: Dakle, selinux uskracuje pravo iptables-u da produzi trajanje bana koliko sam shvatio, je se ne znam zasto automatski brize posle 10 minuta, fail2ban pokusava da produzi, ali ga famozni selinux uskrati tog zadovoljstva.
Sto je jos cudnije, selinux nastavlja da forsira to pravilo iako ga stavim da bude ugasen.
Probacu sutra da stavim izuzetak samo za iptables, ali su uneli neke promene u selinux, koje otezavaju postavljanje takvih pravila, pa cu morati da loadujem modul.
JAvljam se sutra sa rezultatima.
Da li si siguran da je SELinux u pitanju. Ne mogu da se setim nekih njegovih polisa vezanih za iptables ?
E da usput sto je postavis kljuceve na ssh i iskljucis mogucnost logovanja root-a i pristupa sa sifrom. [ 3dd13 @ 03.06.2010. 13:20 ] @
Mozda glupo pitanje, ali cemu SE ?
[ fade @ 03.06.2010. 13:39 ] @
Pogledao sam logove, selinux je problem, i nisam jedini sa ovim problemom.
Bio ukljucen kada sam instalirao, pa ga ostavio, ne skodi, a i ponesto naucim od silnih problema koje mi zadaje.
Postoji par resenja, ali sam trenutno previse lenj da ih probam.
Root ne moze da se loguje direktno na ssh, to je ugaseno odmah po instalaciji.
Kada sredim sve, javicu kako je proslo.
[ nemysis @ 08.06.2010. 21:33 ] @
@fade
Instališite kao prvo, ako već nije instalisano
tcp-wrappers
denyhosts
To radi bolje od fail2ban. SELinux nije uopšte potreban.
Možete pogledati
http://www.ossec.net/en/attacking-loganalysis.html
Copyright (C) 2001-2025 by www.elitesecurity.org. All rights reserved.
|