fail2ban Archives | IT Silent Help

fail2ban.filter warning unable to find a corresponding IP address

Идет перебор паролей по ftp, а fail2ban не блокирует и валит ошибки в лог. Итак, в файле /var/log/secure имеем примерно следующие записи:

May  7 20:03:26 serv01 vsftpd[5631]: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=testuser123 rhost=host-151-250-212-66.reverse.superonline.net
May  7 20:03:31 serv01 vsftpd[5633]: pam_unix(vsftpd:auth): check pass; user unknown
May  7 20:03:31 serv01 vsftpd[5633]: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=testuser123 rhost=host-151-250-212-66.reverse.superonline.net
May  7 20:03:35 serv01 vsftpd[5635]: pam_unix(vsftpd:auth): check pass; user unknown
May  7 20:03:35 serv01 vsftpd[5635]: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=testuser123 rhost=host-151-250-212-66.reverse.superonline.net
May  7 20:03:38 serv01 vsftpd[5637]: pam_unix(vsftpd:auth): check pass; user unknown
May  7 20:03:38 serv01 vsftpd[5637]: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=testuser123 rhost=host-151-250-212-66.reverse.superonline.net

May 7 20:03:26 serv01 vsftpd[5631]: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=testuser123 rhost=host-151-250-212-66.reverse.superonline.net

May 7 20:03:31 serv01 vsftpd[5633]: pam_unix(vsftpd:auth): check pass; user unknown

May 7 20:03:31 serv01 vsftpd[5633]: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=testuser123 rhost=host-151-250-212-66.reverse.superonline.net

May 7 20:03:35 serv01 vsftpd[5635]: pam_unix(vsftpd:auth): check pass; user unknown

May 7 20:03:35 serv01 vsftpd[5635]: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=testuser123 rhost=host-151-250-212-66.reverse.superonline.net

May 7 20:03:38 serv01 vsftpd[5637]: pam_unix(vsftpd:auth): check pass; user unknown

May 7 20:03:38 serv01 vsftpd[5637]: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=testuser123 rhost=host-151-250-212-66.reverse.superonline.net

fail2ban: правило Recidive не работает...

В обновлениях уже поправили, но на всякий случай выложу с чем столкнулся. Если правило Recidive не срабатывает — проверьте в папке filter.d файл recidive.conf, в регулярном выражении должно быть NOTICE ( раньше использовалось WARNING). Достаточно исправить на NOTICE и все заработает.

Fail2ban и Dovecot

Открыл для себя недавно Fail2ban. Fail2ban scans log files (e.g. /var/log/apache/error_log) and bans IPs that show the malicious signs — too many password failures, seeking for exploits, etc. Generally Fail2Ban is then used to update firewall rules to reject the IP addresses for a specified amount of time, although any arbitrary other action (e.g. sending an… Читать далее »