Nhật ký Fail2ban chứa đầy các mục nhập nói rằng fail fail2ban.filter: CẢNH BÁO Xác định IP bằng cách sử dụng Tra cứu DNS: ..

11

Nhật ký fail2ban của tôi /var/log/fail2ban.loghoàn toàn chứa đầy các mục ghi:

fail2ban.filter : WARNING Determined IP using DNS Lookup: [IP address]

Tôi nghĩ rằng điều này có thể đã bắt đầu sau khi tôi thay đổi cổng ssh của mình ...

Bất kỳ ý tưởng nguyên nhân của điều này là gì và làm thế nào để ngăn chặn nó?

— Callkay
nguồn

9

Có cùng một vấn đề.

Giải pháp đơn giản: thêm dòng sau vào đầu /etc/fail2ban/jail.conftệp của bạn , trong [DEFAULT]phần

usedns = no

Để hiểu lý do tại sao tệp nhật ký của bạn chứa đầy các cảnh báo, hãy tham khảo trang sau trong wiki Fail2Ban . Về cơ bản, để ngăn chặn mọi người thao túng hồ sơ PTR về IP tấn công của họ để đưa các giá trị sai vào nhật ký của bạn.

— qux
nguồn

1

Điều này sẽ không mở khả năng tấn công nếu người dùng thực hiện các nỗ lực đăng nhập cho nguồn gốc tên máy chủ (vì tên máy chủ sẽ chỉ bị bỏ qua trong trường hợp này)? Có lẽ tôi đã đọc tài liệu sai, nhưng có vẻ như đây có thể là một ý tưởng tồi.

— Quinn Comendant

2

Ngoài ra, tài liệu nói, Giải pháp là đặt tất cả các dịch vụ không thực hiện tra cứu DNS ngược và thay vào đó chỉ ghi nhật ký địa chỉ IP . Cảnh báo được đưa ra bởi fail2ban ( Xác định IP bằng Tra cứu DNS ) cho biết rằng một số dịch vụ đang ghi tên máy chủ. Giải pháp tốt nhất là xác định dịch vụ nào và vô hiệu hóa tra cứu DNS cho dịch vụ đó. Cài đặt usedns = nodừng các cảnh báo và sẽ ngăn chặn các mạng PTR giả mạo, nhưng để lại dịch vụ ghi nhật ký tên máy chủ hoàn toàn không được bảo vệ bởi fail2ban.

— Quinn Comendant

1

Kiểm tra bản ghi PTR của [địa chỉ IP] và so sánh tên đã giải quyết với địa chỉ IP gốc, nghĩa là

drill -x ip_address or dig -x ip_address or host ip_address

Sau đó so sánh kết quả với:

drill result or dig result or host result

Nó nên giống nhau. Nếu không - kẻ tấn công đã thay đổi PTR. Bạn có thể sửa đổi usednschỉ thị thành "không" hoặc "cảnh báo" trong jail.conf.

— plluksie
nguồn