Журнал Fail2ban заповнений записами, що говорять "fail2ban.filter: ПОПЕРЕДЖЕННЯ Визначений IP за допомогою пошуку DNS: .."

12

Мій журнал fail2ban /var/log/fail2ban.logповністю заповнений записами:

fail2ban.filter : WARNING Determined IP using DNS Lookup: [IP address]

Я думаю, це може початися після того, як я змінив свій ssh-порт ...

Будь-яка ідея, в чому причина цього, і як це зупинити?

— Дірк Каллоуей
джерело

10

Мав те саме питання.

Просте рішення: додайте наступний рядок у верхній частині /etc/fail2ban/jail.confфайлу, у [DEFAULT]розділі

usedns = no

Щоб зрозуміти, чому ваш файл журналу заповнюється попередженнями, зверніться до наступної сторінки у вікі Fail2Ban . Це в основному запобігти людям, що маніпулюють записом PTR своїх атакуючих IP-адрес, щоб вводити помилкові значення у ваші журнали.

— qux
джерело

1

Чи не відкриє це можливість атаки, якщо користувачі роблять спроби входу за походженням імені хоста (оскільки імена хостів просто ігноруються в цьому випадку)? Можливо, я читав документи неправильно, але, здається, це може бути поганою ідеєю.

— Квінн Комендант

2

Крім того, у документації йдеться: Рішення полягає у встановленні всіх служб не робити зворотних пошуків DNS, а замість них записувати лише IP-адреси . Попередження, яке надає fail2ban ( Визначений IP за допомогою DNS-пошуку ), вказує на те, що деяка служба реєструє імена хостів. Найкраще рішення - визначити, яка служба є, і відключити пошук DNS для неї. Налаштування usedns = noзупиняє попередження та запобігатиме блокуванню підроблених мереж PTR, але залишає службу, яка реєструє імена хостів, повністю захищеними програмою fail2ban.

— Квінн Комендант

2

Перевірте запис PTR [IP-адреси] та порівняйте вирішене ім’я з початковою IP-адресою, тобто

drill -x ip_address or dig -x ip_address or host ip_address

Потім порівняйте результат з:

drill result or dig result or host result

Це має бути те саме. Якщо це не так - зловмисник змінив PTR. Ви можете змінити usednsдирективу на "ні" або "попередити" в jail.conf.

— plluksie
джерело