Problemas con Fail2ban
DesconectadoGracias a Ricardo he descubierto esta maravilla, pero no he conseguido que me coja los intentos fallidos de login, y creo que es porque la expresion regular que usa por defecto no vale para el auth.log que crea Debian.
en mi caso la regex es:
(?:Authentication failure|Failed (?:keyboard-interactive/pam|password)) for(?: illegal user)? .* from (?:::f{4,6}:)?(?P<host>\S*)
pero mis logs en auth muestran:
Oct 14 12:53:52 morgana sshd[2442]: Failed password for invalid user asdjads from 138.100.10.244 port 1450 ssh2
Que de ninguna manera casa :(, y la pena es que no tengo ni idea de regex's (algún dia me pondré, lo juro :D).
¿Algun alma caritativa me echa un cable?
Saludos.
- 1991 lecturas
Bueno, gracias a todos por las molestias. Al final lo he resuelto reinstalando el paquete. Se ve que algo toqué, sin querer lo juro, y modifique el fail2ban.conf, en fin, que tengo morcillas en vez de dedos.
Saludos.
PD: Me acabo de banear a mi mismo xD
Por lo que he estado leyendo hay un bug no resuelto con la última versión de sid. El encargado del paquete para debian ya lo ha arreglado; hasta que se actualice en sid se puede usar el de su repositorio añadiendo a sources.list la línea
deb http://www.onerussian.com/debian ./
ejecutando después apt-get update y apt-get install fail2ban.
Por cierto, si actualizais el paquete, responded "Yes" cuando os pregunte si queréis cambiar el archivo de configuración de fail2ban, ya que corrige éste y otros bugs. Luego podéis editarlo a mano para cambiar las opciones por defecto.
PD: Por cierto, Knox, podrías poner la parte concerniente a vsftpd? Lo intenté y no hubo forma...
Gracias a Ricardo he descubierto esta maravilla, pero no he conseguido que me coja los intentos fallidos de login, y creo que es porque la expresion regular que usa por defecto no vale para el auth.log que crea Debian.
en mi caso la regex es:
(?:Authentication failure|Failed (?:keyboard-interactive/pam|password)) for(?: illegal user)? .* from (?:::f{4,6}:)?(?P<host>S*)
pero mis logs en auth muestran:
Oct 14 12:53:52 morgana sshd[2442]: Failed password for invalid user asdjads from 138.100.10.244 port 1450 ssh2
Que de ninguna manera casa :(, y la pena es que no tengo ni idea de regex's (algún dia me pondré, lo juro :D).
¿Algun alma caritativa me echa un cable?
Saludos.
Hola
No sé si habías visto este artículo Tritt, pero por si acaso te pego aqui el enlace
http://www.esdebian.org/article.php?story=20050816103546690
Por cierto, para el que le interese ya está el paquete para Debian
http://packages.debian.org/cgi-bin/search_packages.pl?keywords=fail2ban&...
Si, ya habia leido ese artículo, pero la configuración que trae por defecto el paquete no debe ser buena porque a mi no me "caza" los intentos fallidos (realmente no me caza nada).
Saludos.
¿tienes instalado el Log4Py?
http://www.its4you.at/english/log4py.html
¿tienes instalado el Log4Py?
http://www.its4you.at/english/log4py.html
Pues no, ¿Deberia? (no es dependencia de fail2ban).
tengo funcionando la version 0.5.4 y no tengo instalado el log4py y funciona bien con ssh, incluso, lo he configurado tambien para que banee las conecciones fallidas para vsftpd, que no viene configurado en la configuracion por defecto
Pues entonces algo me falta en el kernel. :?
¿tienes instalado el Log4Py?
http://www.its4you.at/english/log4py.html
Pues no, ¿Deberia? (no es dependencia de fail2ban).
En la web de fail2ban afirman que hace falta. Ni idea, nunca lo he usado. ¿Un bug tal vez?
[QUOTE BY ="http://sourceforge.net/projects/fail2ban"]
Fail2Ban scans log files like /var/log/pwdfail or /var/log/apache/error_log and bans IP that makes too many password failures. It updates firewall rules to reject the IP address or executes user defined commands. It needs log4py.