Fail2ban-Protokoll mit Einträgen mit der Aufschrift "fail2ban.filter: WARNUNG Bestimmte IP mithilfe der DNS-Suche: .."

11

Mein fail2ban-Protokoll bei /var/log/fail2ban.logist vollständig mit Einträgen gefüllt, die besagen:

fail2ban.filter : WARNING Determined IP using DNS Lookup: [IP address]

Ich denke, das hat vielleicht begonnen, nachdem ich meinen SSH-Port geändert habe ...

Irgendeine Idee, was die Ursache dafür ist und wie man es aufhält?

linux ubuntu log-files fail2ban ip-blocking Dirk Calloway
quelle

Antworten:

9

Hatte das gleiche Problem.

Einfache Lösung: Fügen Sie die folgende Zeile oben in Ihrer /etc/fail2ban/jail.confDatei im [DEFAULT]Abschnitt hinzu

usedns = no

Informationen dazu , warum Ihre Protokolldatei mit Warnungen gefüllt ist, finden Sie auf der folgenden Seite im Fail2Ban-Wiki . Grundsätzlich soll verhindert werden, dass Personen den PTR-Datensatz ihrer Angriffs-IPs manipulieren, um falsche Werte in Ihre Protokolle einzufügen.

qux
quelle
1
Wird dies nicht die Möglichkeit eines Angriffs eröffnen, wenn Benutzer Anmeldeversuche für Hostnamen-Ursprünge durchführen (da Hostnamen in diesem Fall einfach ignoriert werden)? Vielleicht habe ich die Dokumente falsch gelesen, aber es scheint, dass dies eine schlechte Idee sein könnte.
Quinn Comendant
2
In der Dokumentation heißt es außerdem: Die Lösung besteht darin, alle Dienste so einzustellen, dass keine umgekehrten DNS-Suchvorgänge durchgeführt werden und stattdessen nur IP-Adressen protokolliert werden . Die Warnung von fail2ban ( Bestimmte IP mithilfe der DNS-Suche ) zeigt an, dass ein Dienst Hostnamen protokolliert. Die beste Lösung besteht darin, festzustellen, um welchen Dienst es sich handelt, und die DNS-Suche dafür zu deaktivieren. Durch die Einstellung werden usedns = nodie Warnungen gestoppt und das Blockieren gefälschter PTR-Netzwerke verhindert, der Dienst, der Hostnamen protokolliert, bleibt jedoch durch fail2ban vollständig ungeschützt.
Quinn Comendant
1

Überprüfen Sie den PTR-Eintrag der [IP-Adresse] und vergleichen Sie den aufgelösten Namen mit der ursprünglichen IP-Adresse, d. H. 

drill -x ip_address or dig -x ip_address or host ip_address

Vergleichen Sie dann das Ergebnis mit:

drill result or dig result or host result

Es sollte das gleiche sein. Ist dies nicht der Fall, hat der Angreifer die PTR geändert. Sie können die usednsDirektive in "no" oder "warn" ändern jail.conf.

plluksie
quelle