В репозитории Mandriva 2009.0 имеется версия программы 0.8.3. Ее то я и установил. Для работы, согласно официального сайта http://www.fail2ban.org/wiki/index.php/Requirements,нужен всего лишь Python >=2.3. Программа ставится как системная служба и остается ее только запустить. При этом, с настройками по умолчанию, протокол SSH будет блокироваться для хоста, который в течении 10 минут предпримет 5 безуспешных попыток зайти на машину. Блокировка действует в течении 10 минут. Но при этом в журнале /var/log/fail2ban.log появляются вот такие странные сообщения:
2009-10-11 10:35:49,260 fail2ban.actions.action: ERROR printf %b "Subject: [Fail2Ban] SSH: started
From: Fail2Ban
To: you@mail.com\n
Hi,\n
The jail SSH has been started successfully.\n
Regards,\n
Fail2Ban" | /usr/sbin/sendmail -f fail2ban@mail.com you@mail.com returned 7f00
2009-10-11 10:41:48,176 fail2ban.comm : WARNING Invalid command: ['get', 'bantime']
2009-10-11 10:43:09,483 fail2ban.comm : WARNING Invalid command: ['get', 'bantime']
2009-10-11 10:43:14,575 fail2ban.comm : WARNING Invalid command: ['?']
2009-10-11 10:43:16,820 fail2ban.comm : WARNING Invalid command: ['/']
2009-10-11 10:43:19,674 fail2ban.comm : WARNING Invalid command: ['help']
2009-10-11 10:43:40,300 fail2ban.actions.action: ERROR printf %b "Subject: [Fail2Ban] SSH: stopped
From: Fail2Ban
To: you@mail.com\n
Hi,\n
The jail SSH has been stopped.\n
Regards,\n
Собственно я понимал, что указанные сообщения явно к лог файлу не имеют прямого отношения, а попали исключительно из-за ошибок в программе или невыполненных требований.
При этом защита реально работала, но что-то нужно было делать с жуткими сообщениями.
Вообщем дополнительно пришлось установить 2 программы: sendmail и whois, затем я подправил файл /etc/fail2ban/jail.conf, где сократил количество попыток до 3-х, а время блокирования до 30 минут. При этом указал получателем почты root@localhost.
И теперь на почту рута приходят подробные письма о том что хост xxx.xxx.xxx.xxx был заблокирован, а в лог журнале содержатся вот такие записи:
2009-10-14 01:01:11,624 fail2ban.actions: WARNING [ssh-iptables] Ban 93.92.47.25
2009-10-14 01:31:11,946 fail2ban.actions: WARNING [ssh-iptables] Unban 93.92.47.25
2009-10-14 10:16:02,992 fail2ban.actions: WARNING [ssh-iptables] Ban 87.106.252.228
2009-10-14 10:46:03,880 fail2ban.actions: WARNING [ssh-iptables] Unban 87.106.252.228
2009-10-14 13:12:05,979 fail2ban.actions: WARNING [ssh-iptables] Ban 88.191.90.137
2009-10-14 13:42:06,786 fail2ban.actions: WARNING [ssh-iptables] Unban 88.191.90.137
2009-10-14 15:48:35,837 fail2ban.actions: WARNING [ssh-iptables] Ban 112.216.245.235
2009-10-14 16:18:36,078 fail2ban.actions: WARNING [ssh-iptables] Unban 112.216.245.235
Моя оценка: программа - классная. У брут-форсеров отбивает охоту взлома на 100%. Вообщем рекомендую!.
Похоже что-бы не сыпало в в логи записи типа этой: 2009-10-11 10:43:19,674 fail2ban.comm : WARNING Invalid command: ['help']
ОтветитьУдалитьнадо установить gamin. Ао всяком случае мне помогло.