Wie ändere ich in Fail2Ban die SSH-Portnummer?

24

Auf meinem Server ist der SSH-Port nicht der Standard 22. Ich habe einen anderen festgelegt. Wenn ich fail2ban einrichte, kann es dann diesen Port erkennen? Wie kann ich festlegen, dass dieser Port anstelle von Port 22 überprüft werden soll?

Die Ausgabe von iptables -L -v -n:

 Chain fail2ban-ssh (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                         
    0     0 DROP       all  --  *      *       119.235.2.158        0.0.0.0/0                                                                                           
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                           

 Chain fail2ban-ssh-ddos (0 references)
 pkts bytes target     prot opt in     out     source               destination

Die Ausgabe von Service Iptables Status:

iptables: unrecognized service

Sommerlich von fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf:

Summary
=======

Addresses found:
[1]
[2]
[3]
    113.59.222.240 (Wed Mar 21 18:24:47 2012)
    113.59.222.240 (Wed Mar 21 18:24:52 2012)
    119.235.14.153 (Wed Mar 21 21:52:53 2012)
    113.59.222.21 (Thu Mar 22 07:50:44 2012)
    176.9.57.203 (Fri Mar 23 19:34:29 2012)
    176.9.57.203 (Fri Mar 23 19:34:42 2012)
    113.59.222.56 (Sat Mar 31 14:23:52 2012)
    113.59.222.56 (Sat Mar 31 14:24:05 2012)
    119.235.14.183 (Mon Apr 02 20:49:13 2012)
    119.235.14.168 (Sat Apr 21 09:58:56 2012)
    119.235.2.158 (Wed Apr 25 13:11:03 2012)
    119.235.2.158 (Wed Apr 25 13:11:40 2012)
    119.235.2.158 (Wed Apr 25 13:11:43 2012)
    119.235.2.158 (Wed Apr 25 13:11:47 2012)
    119.235.2.158 (Wed Apr 25 13:12:49 2012)
    119.235.2.158 (Wed Apr 25 13:12:52 2012)
    119.235.2.158 (Wed Apr 25 13:12:55 2012)
    119.235.2.158 (Wed Apr 25 13:12:58 2012)
    119.235.2.158 (Wed Apr 25 13:13:02 2012)
    119.235.2.158 (Wed Apr 25 13:13:04 2012)
    119.235.2.158 (Wed Apr 25 13:13:25 2012)
    119.235.2.158 (Wed Apr 25 13:19:18 2012)
    119.235.2.158 (Wed Apr 25 13:19:52 2012)
    119.235.2.158 (Wed Apr 25 13:19:55 2012)
    119.235.2.158 (Wed Apr 25 13:19:55 2012)
    119.235.2.158 (Wed Apr 25 13:19:58 2012)
    119.235.2.158 (Wed Apr 25 13:20:02 2012)
    119.235.2.158 (Wed Apr 25 13:20:05 2012)
    119.235.2.158 (Wed Apr 25 13:40:16 2012)
[4]
[5]
    119.235.2.158 (Wed Apr 25 13:11:38 2012)
    119.235.2.158 (Wed Apr 25 13:12:46 2012)
    119.235.2.158 (Wed Apr 25 13:19:49 2012)
[6]
    119.235.2.155 (Wed Mar 21 13:13:30 2012)
    113.59.222.240 (Wed Mar 21 18:24:43 2012)
    119.235.14.153 (Wed Mar 21 21:52:51 2012)
    176.9.57.203 (Fri Mar 23 19:34:26 2012)
    119.235.2.158 (Wed Apr 25 13:19:15 2012)
[7]
[8]
[9]
[10]

Date template hits:
1169837 hit(s): MONTH Day Hour:Minute:Second
0 hit(s): WEEKDAY MONTH Day Hour:Minute:Second Year
0 hit(s): WEEKDAY MONTH Day Hour:Minute:Second
0 hit(s): Year/Month/Day Hour:Minute:Second
0 hit(s): Day/Month/Year Hour:Minute:Second
0 hit(s): Day/Month/Year Hour:Minute:Second
0 hit(s): Day/MONTH/Year:Hour:Minute:Second
0 hit(s): Month/Day/Year:Hour:Minute:Second
0 hit(s): Year-Month-Day Hour:Minute:Second
0 hit(s): Day-MONTH-Year Hour:Minute:Second[.Millisecond]
0 hit(s): Day-Month-Year Hour:Minute:Second
0 hit(s): TAI64N
0 hit(s): Epoch
0 hit(s): ISO 8601
0 hit(s): Hour:Minute:Second
0 hit(s): <Month/Day/Year@Hour:Minute:Second>

Success, the total number of match is 37

However, look at the above section 'Running tests' which could contain important
information.

Die jail.conf:

    # Fail2Ban configuration file.
#
# This file was composed for Debian systems from the original one
#  provided now under /usr/share/doc/fail2ban/examples/jail.conf
#  for additional examples.
#
# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
#
# Author: Yaroslav O. Halchenko <[email protected]>
#
# $Revision: 281 $
#

# The DEFAULT allows a global definition of the options. They can be override
# in each jail afterwards.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime  = 14400
maxretry = 3

# "backend" specifies the backend used to get files modification. Available
# options are "gamin", "polling" and "auto".
# yoh: For some reason Debian shipped python-gamin didn't work as expected
#      This issue left ToDo, so polling is default backend for now
backend = polling

#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = root@localhost

#
# ACTIONS
#

# Default banning action (e.g. iptables, iptables-new,
# iptables-multiport, shorewall, etc) It is used to define 
# action_* variables. Can be overriden globally or per 
# section within jail.local file
banaction = iptables-multiport

# email action. Since 0.8.1 upstream fail2ban uses sendmail
# MTA for the mailing. Change mta configuration parameter to mail
# if you want to revert to conventional 'mail'.
mta = sendmail

# Default protocol
protocol = tcp

#
# Action shortcuts. To be used to define action parameter

# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]

# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
              %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s]

# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
               %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s]

# Choose default action.  To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section 
action = %(action_)s

#
# JAILS
#

# Next jails corresponds to the standard configuration in Fail2ban 0.6 which
# was shipped in Debian. Enable any defined here jail by including
#
# [SECTION_NAME] 
# enabled = true

#
# in /etc/fail2ban/jail.local.
#
# Optionally you may override any other parameter (e.g. banaction,
# action, port, logpath, etc) in that section within jail.local

[ssh]

enabled = true
port    = ssh
filter  = sshd
logpath  = /var/log/auth.log
maxretry = 4

# Generic filter for pam. Has to be used with action which bans all ports
# such as iptables-allports, shorewall
[pam-generic]

enabled = false
# pam-generic filter can be customized to monitor specific subset of 'tty's
filter  = pam-generic
# port actually must be irrelevant but lets leave it all for some possible uses
port = all
banaction = iptables-allports
port     = anyport
logpath  = /var/log/auth.log
maxretry = 6

[xinetd-fail]

enabled   = false
filter    = xinetd-fail
port      = all
banaction = iptables-multiport-log
logpath   = /var/log/daemon.log
maxretry  = 2


[ssh-ddos]

enabled = true
port    = ssh
filter  = sshd-ddos
logpath  = /var/log/auth.log
maxretry = 6

#
# HTTP servers
#

[apache]

enabled = false
port    = http,https
filter  = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 6

# default action is now multiport, so apache-multiport jail was left
# for compatibility with previous (<0.7.6-2) releases
[apache-multiport]

enabled   = false
port      = http,https
filter    = apache-auth
logpath   = /var/log/apache*/*error.log
maxretry  = 6

[apache-noscript]

enabled = false
port    = http,https
filter  = apache-noscript
logpath = /var/log/apache*/*error.log
maxretry = 6

[apache-overflows]

enabled = false
port    = http,https
filter  = apache-overflows
logpath = /var/log/apache*/*error.log
maxretry = 2

 [nginx-auth]
 enabled = true
 filter = nginx-auth
 action = iptables-multiport[name=NoAuthFailures, port="http,https"]
 logpath = /var/log/nginx*/*error*.log
 bantime = 600 # 10 minutes
 maxretry = 6

 [nginx-login]
 enabled = true
 filter = nginx-login
 action = iptables-multiport[name=NoLoginFailures, port="http,https"]
 logpath = /var/log/nginx*/*access*.log
 bantime = 600 # 10 minutes
 maxretry = 6

 [nginx-badbots]
 enabled  = true
 filter = apache-badbots
 action = iptables-multiport[name=BadBots, port="http,https"]
 logpath = /var/log/nginx*/*access*.log
 bantime = 86400 # 1 day
 maxretry = 1

 [nginx-noscript]
 enabled = true
 action = iptables-multiport[name=NoScript, port="http,https"]
 filter = nginx-noscript
 logpath = /var/log/nginx*/*access*.log
 maxretry = 6
 bantime  = 86400 # 1 day

 [nginx-proxy]
 enabled = true
 action = iptables-multiport[name=NoProxy, port="http,https"]
 filter = nginx-proxy
 logpath = /var/log/nginx*/*access*.log
 maxretry = 0
 bantime  = 86400 # 1 day


#
# FTP servers
#

[vsftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = vsftpd
logpath  = /var/log/vsftpd.log
# or overwrite it in jails.local to be
# logpath = /var/log/auth.log
# if you want to rely on PAM failed login attempts
# vsftpd's failregex should match both of those formats
maxretry = 6


[proftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = proftpd
logpath  = /var/log/proftpd/proftpd.log
maxretry = 6


[wuftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = wuftpd
logpath  = /var/log/auth.log
maxretry = 6


#
# Mail servers
#

[postfix]

enabled  = false
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log


[couriersmtp]

enabled  = false
port     = smtp,ssmtp
filter   = couriersmtp
logpath  = /var/log/mail.log


#
# Mail servers authenticators: might be used for smtp,ftp,imap servers, so
# all relevant ports get banned
#

[courierauth]

enabled  = false
port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = courierlogin
logpath  = /var/log/mail.log


[sasl]

enabled  = false
port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = sasl
# You might consider monitoring /var/log/warn.log instead
# if you are running postfix. See http://bugs.debian.org/507990
logpath  = /var/log/mail.log


# DNS Servers


# These jails block attacks against named (bind9). By default, logging is off
# with bind9 installation. You will need something like this:
#
# logging {
#     channel security_file {
#         file "/var/log/named/security.log" versions 3 size 30m;
#         severity dynamic;
#         print-time yes;
#     };
#     category security {
#         security_file;
#     };
# };
#
# in your named.conf to provide proper logging

# !!! WARNING !!!
#   Since UDP is connectionless protocol, spoofing of IP and immitation
#   of illegal actions is way too simple.  Thus enabling of this filter
#   might provide an easy way for implementing a DoS against a chosen
#   victim. See
#    http://nion.modprobe.de/blog/archives/690-fail2ban-+-dns-fail.html
#   Please DO NOT USE this jail unless you know what you are doing.
#[named-refused-udp]
#
#enabled  = false
#port     = domain,953
#protocol = udp
#filter   = named-refused
#logpath  = /var/log/named/security.log

[named-refused-tcp]

enabled  = false
port     = domain,953
protocol = tcp
filter   = named-refused
logpath  = /var/log/named/security.log

Ich habe gerade einen Fehler in der fail2ban log:

2012-04-25 14: 57: 29,359 fail2ban.actions.action: FEHLER iptables -N fail2ban-ssh-ddos

THpubs
quelle
OS? CentOS / Ubuntu / ...? Ausgabe für/etc/init.d/iptables status
Bart De Vos
@BartDeVos OS Ubuntu 11.04 ... "/etc/init.d/iptables status" = bash: /etc/init.d/iptables: Keine solche Datei oder Verzeichnis ... Hinweis: Ich verwalte iptables mit APF!
THpubs
Nun, da ist wahrscheinlich dein Problem. Wie wäre es, apf zu deaktivieren, eine einfache Firewall mit iptables einzurichten und zu prüfen, ob das Problem weiterhin besteht?
Bart De Vos
@BartDeVos Das ist das Problem ... Ich bin in einem VPS-System ... Ich denke, es ist openvz ... Also, einige Firewalls wie UFW funktionieren hier nicht!
THpubs
Kannst du rennen ufw enable?
Bart De Vos

Antworten:

22

Fail2Ban verwendet die Datei /etc/fail2ban/jail.localund sucht den [ssh]Abschnitt, dort können Sie den Port ändern.

[ssh]
enabled  = true
port     = ssh

Sie können den portWert in eine beliebige positive Ganzzahl ändern .

Wenn es nicht funktioniert und Sie weiter schauen möchten, schauen Sie sich Folgendes an /etc/fail2ban/jail.conf:

 logpath = /var/log/auth.log

So erkennt fail2ban falsche Logins.

Wenn es nicht richtig funktioniert, können Sie ein paar Dinge versuchen, um das Problem zu lokalisieren. Überprüfen Sie zunächst, ob es installiert ist:

dpkg -l |grep fail   

Überprüfen Sie, ob der Dienst ausgeführt wird:

/etc/init.d/fail2ban status 

Überprüfen Sie, ob Ihr SSH-Gefängnis eingerichtet ist:

sudo fail2ban-client status  

Überprüfen Sie die Protokolldatei:

fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf

Überprüfen Sie Ihr Datum und Ihre Uhrzeit:

date && tail -2 /var/log/auth.log

(Sie sollten zuerst das Datum und dann die letzten Zeilen auth.logabrufen. Wenn Sie den Fehler immer noch nicht feststellen können, fügen Sie Ihre Konfigurationsdatei zu Ihrem Beitrag hinzu.

Bart De Vos
quelle
Es scheint nicht zu funktionieren ... Ich blockiere meine fehlgeschlagenen Logins nicht!
THpubs
1
Die Logs zeigen, dass meine IP gesperrt ist ... Aber ich kann mich trotzdem einloggen!
THpubs
Was ist die Ausgabe für iptables -L -v -nund / oderservice iptables status
Bart De Vos
Ich habe die Ausgaben zu der Frage hinzugefügt ... Bitte überprüfen Sie es ...
THpubs
8
Diese Antwort ist irreführend. Obwohl sich fail2ban nicht um den SSH-Port für die Erkennung kümmert, blockiert es nur den Standard-Port (dh den falschen Port) (22), sodass der böswillige Benutzer weiterhin eine Verbindung zum Nicht-Standard-Port herstellen kann. Diese Antwort enthält Details zum Ändern des blockierten Ports.
Robd
35

fail2ban erkennt Anmeldeversuche mit Protokollinhalten. fail2ban verwendet keine Ports zur Erkennung, sondern nur zum Blockieren.
Um den richtigen Port zu blockieren, müssen Sie fail2ban mitteilen, welchen Port Sie verwenden möchten, um iptable korrekt einzurichten.
In /etc/fail2ban/jail.local:

[ssh]
enabled  = true
port     = ssh   <-- just modify this with your port    port = 1234

Eine andere Methode ist, alles von den beleidigenden Wirten zu blockieren. So wird iptable alle Pakete von ihnen fallen lassen, nicht nur die von ssh.
Zu Beginn von /etc/fail2ban/jail.local:

banaction = iptables-multiport     <-- regular blocking (one or several ports)
banaction = iptables-allports      <-- block everything

Mit müssen iptables-allportsSie sich nicht um Häfen kümmern. Belassen Sie einfach die Standardeinstellungen.

Gregory MOUSSAT
quelle
Großartig ... es funktioniert bis zu einem gewissen Grad. Aber ich habe gerade einen Fehler im fail2ban-Protokoll festgestellt: "2012-04-25 14: 57: 29,359 fail2ban.actions.action: ERROR iptables -N fail2ban-ssh-ddos" es wird mich nicht blockieren, wenn ich mich nicht einloggen kann ... Es wird mich nur blockieren, wenn ich es wirklich schnell mache. Wenn ich bis zu SSH warte, um mitzuteilen, dass das Passwort falsch ist, blockiert es mich nicht!
THpubs
2
Ich fürchte, Sie müssen das Dokument lesen. Fail2ban hat Parameter, mit denen die Anzahl der Versuche eingestellt werden kann, bevor sie blockiert werden.
Gregory MOUSSAT
7

Kurz gesagt: Wenn Sie die SSH-Portnummer geändert haben, MÜSSEN SIE SIE IN DIE jail.localDatei HINZUFÜGEN !

Zum Beispiel: (Ich verwende SSH, SFTP auf dem Port 1234)

in jail.local:

[ssh]

enabled  = true

port     = ssh,sftp,1234

filter   = sshd

logpath  = /var/log/auth.log

maxretry = 6
Memento Ad
quelle
Vielen Dank, hat wie erwartet funktioniert und musste nur den Protokollpfad zu / var / log / secure ändern
AMB
0

Ich weiß, dass dies nicht ausschließlich die Frage beantwortet, aber trotzdem ...

Als eine andere Möglichkeit, das Problem zu lösen, können Sie in Erwägung ziehen, die Standardports in Ihrer Serverkonfiguration beizubehalten und dann die NAT in Ihrem Router durchzuführen.

Zum Beispiel verwende ich in meinem Setup auch keinen Standard-Port für SSH von außen, aber meine Serverkonfiguration ist Standard für SSH (ebenso wie für FTP, VPN usw.) Ich öffne nur nicht-Standard-Ports im Router und habe sie an standard port weitergeleitet.

Diese Vorgehensweise spart mir viel Zeit bei der Konfiguration meines Setups.

Überprüfung
quelle
0

Ich weiß, dass dies ein alter Thread ist, aber dies taucht bei einer Google-Suche nach diesem Thema auf. Ich habe niemanden gesehen, der die richtigste Antwort gab (imo), also hier ist es.

Um die benannte Linux-Portdefinition global zu ändern, gehen Sie zu /etc/services

ssh             22/tcp
ssh             22/udp

An der fail2ban-Konfiguration oder an einer anderen Anwendung, die benannte Linux-Ports verwendet, müssen keine Änderungen vorgenommen werden.

Fred Flint
quelle