fail2ban.filter warning unable to find a corresponding IP address

Полезные феньки... Комментариев нет

Идет перебор паролей по ftp, а fail2ban не блокирует и валит ошибки в лог.

Итак, в файле /var/log/secure имеем примерно следующие записи:

1
2
3
4
5
6
7
May  7 20:03:26 serv01 vsftpd[5631]: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=testuser123 rhost=host-151-250-212-66.reverse.superonline.net
May  7 20:03:31 serv01 vsftpd[5633]: pam_unix(vsftpd:auth): check pass; user unknown
May  7 20:03:31 serv01 vsftpd[5633]: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=testuser123 rhost=host-151-250-212-66.reverse.superonline.net
May  7 20:03:35 serv01 vsftpd[5635]: pam_unix(vsftpd:auth): check pass; user unknown
May  7 20:03:35 serv01 vsftpd[5635]: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=testuser123 rhost=host-151-250-212-66.reverse.superonline.net
May  7 20:03:38 serv01 vsftpd[5637]: pam_unix(vsftpd:auth): check pass; user unknown
May  7 20:03:38 serv01 vsftpd[5637]: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=testuser123 rhost=host-151-250-212-66.reverse.superonline.net

Читать полностью »

Fail2ban и Dovecot

Полезные феньки... Комментариев нет

Открыл для себя недавно Fail2ban.

Fail2ban scans log files (e.g. /var/log/apache/error_log) and bans IPs that show the malicious signs — too many password failures, seeking for exploits, etc. Generally Fail2Ban is then used to update firewall rules to reject the IP addresses for a specified amount of time, although any arbitrary other action (e.g. sending an email) could also be configured. google cloud . Out of the box Fail2Ban comes with filters for various services (apache, courier, ssh, etc).

Fail2Ban is able to reduce the rate of incorrect authentications attempts however it cannot eliminate the risk that weak authentication presents. Configure services to use only two factor or public/private authentication mechanisms if you really want to protect services.

ну или по-русски

Fail2ban — простой в использовании локальный сервис, который отслеживает log–файлы запущенных программ, и на основании различных условий блокирует по IP найденных нарушителей.

Программа умеет бороться с различными атаками на все популярные *NIX–сервисы, такие как Apache, Nginx, ProFTPD, vsftpd, Exim, Postfix, named, и т.д.

Но в первую очередь Fail2ban известен благодаря готовности «из коробки» к защите SSH–сервера от атак типа «bruteforce», то есть к защите SSH от перебора паролей.

Читать полностью »

Transparent squid 3.3

Полезные феньки... Комментариев нет

Поставили Fedora 20 на шлюз, yum установил squid 3.3.12-2.fc20, который отказался работать в режиме transparent. Получили проблему с обычными настройками (которые работали в версии до 3.3)
конфиг squid

1
http_port 3128 transparent

правило iptables

1
iptables -t nat -A PREROUTING -i enp11s0 -s 10.0.9.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

squid работал только в режиме прозрачного. У кого же в настройках был явно прописан адрес прокси — «доступ запрещен».

Читать полностью »

Мониторинг Linux серверов с помощью Munin. Часть 1 — установка, запуск, добавление плагинов

Полезные феньки... Комментариев нет

Вводные данные: есть несколько удаленных точек, в каждой точке стоит небольшой комп с Fedora, который выпускает народ в интернет, устанавливает VPN с основным офисом и обеспечивает работу телефонии. Так же есть почтовые, веб и VPN сервера. Вот и хотелось видеть по ним некую информацию — как работают, температуру внутри компа, сетевую нагрузку, время отклика до некоторых узлов ну и т.д... Перечитал много всяких сайтов, и все же решил остановиться на Munin. Но как говорится, на вкус и цвет фломастеры разные, т.е. — каждому свое. Итак, все что буду описывать относится к ОС Fedora (версии от 8 до 17).
Читать полностью »


Разработка и поддержка www.gurin.ru
© 2009 Windraw dot Net. Все права защищены.