Dans Fail2Ban, comment changer le numéro de port SSH?


24

Sur mon serveur, le port ssh n'est pas le standard 22. J'en ai défini un autre. Si je configure fail2ban, pourra-t-il détecter ce port? Comment puis-je lui dire de vérifier ce port plutôt que le port 22?

La sortie de iptables -L -v -n:

 Chain fail2ban-ssh (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                         
    0     0 DROP       all  --  *      *       119.235.2.158        0.0.0.0/0                                                                                           
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                           

 Chain fail2ban-ssh-ddos (0 references)
 pkts bytes target     prot opt in     out     source               destination

La sortie de l'état du service iptables:

iptables: unrecognized service

Résumé de fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf:

Summary
=======

Addresses found:
[1]
[2]
[3]
    113.59.222.240 (Wed Mar 21 18:24:47 2012)
    113.59.222.240 (Wed Mar 21 18:24:52 2012)
    119.235.14.153 (Wed Mar 21 21:52:53 2012)
    113.59.222.21 (Thu Mar 22 07:50:44 2012)
    176.9.57.203 (Fri Mar 23 19:34:29 2012)
    176.9.57.203 (Fri Mar 23 19:34:42 2012)
    113.59.222.56 (Sat Mar 31 14:23:52 2012)
    113.59.222.56 (Sat Mar 31 14:24:05 2012)
    119.235.14.183 (Mon Apr 02 20:49:13 2012)
    119.235.14.168 (Sat Apr 21 09:58:56 2012)
    119.235.2.158 (Wed Apr 25 13:11:03 2012)
    119.235.2.158 (Wed Apr 25 13:11:40 2012)
    119.235.2.158 (Wed Apr 25 13:11:43 2012)
    119.235.2.158 (Wed Apr 25 13:11:47 2012)
    119.235.2.158 (Wed Apr 25 13:12:49 2012)
    119.235.2.158 (Wed Apr 25 13:12:52 2012)
    119.235.2.158 (Wed Apr 25 13:12:55 2012)
    119.235.2.158 (Wed Apr 25 13:12:58 2012)
    119.235.2.158 (Wed Apr 25 13:13:02 2012)
    119.235.2.158 (Wed Apr 25 13:13:04 2012)
    119.235.2.158 (Wed Apr 25 13:13:25 2012)
    119.235.2.158 (Wed Apr 25 13:19:18 2012)
    119.235.2.158 (Wed Apr 25 13:19:52 2012)
    119.235.2.158 (Wed Apr 25 13:19:55 2012)
    119.235.2.158 (Wed Apr 25 13:19:55 2012)
    119.235.2.158 (Wed Apr 25 13:19:58 2012)
    119.235.2.158 (Wed Apr 25 13:20:02 2012)
    119.235.2.158 (Wed Apr 25 13:20:05 2012)
    119.235.2.158 (Wed Apr 25 13:40:16 2012)
[4]
[5]
    119.235.2.158 (Wed Apr 25 13:11:38 2012)
    119.235.2.158 (Wed Apr 25 13:12:46 2012)
    119.235.2.158 (Wed Apr 25 13:19:49 2012)
[6]
    119.235.2.155 (Wed Mar 21 13:13:30 2012)
    113.59.222.240 (Wed Mar 21 18:24:43 2012)
    119.235.14.153 (Wed Mar 21 21:52:51 2012)
    176.9.57.203 (Fri Mar 23 19:34:26 2012)
    119.235.2.158 (Wed Apr 25 13:19:15 2012)
[7]
[8]
[9]
[10]

Date template hits:
1169837 hit(s): MONTH Day Hour:Minute:Second
0 hit(s): WEEKDAY MONTH Day Hour:Minute:Second Year
0 hit(s): WEEKDAY MONTH Day Hour:Minute:Second
0 hit(s): Year/Month/Day Hour:Minute:Second
0 hit(s): Day/Month/Year Hour:Minute:Second
0 hit(s): Day/Month/Year Hour:Minute:Second
0 hit(s): Day/MONTH/Year:Hour:Minute:Second
0 hit(s): Month/Day/Year:Hour:Minute:Second
0 hit(s): Year-Month-Day Hour:Minute:Second
0 hit(s): Day-MONTH-Year Hour:Minute:Second[.Millisecond]
0 hit(s): Day-Month-Year Hour:Minute:Second
0 hit(s): TAI64N
0 hit(s): Epoch
0 hit(s): ISO 8601
0 hit(s): Hour:Minute:Second
0 hit(s): <Month/Day/Year@Hour:Minute:Second>

Success, the total number of match is 37

However, look at the above section 'Running tests' which could contain important
information.

Le jail.conf:

    # Fail2Ban configuration file.
#
# This file was composed for Debian systems from the original one
#  provided now under /usr/share/doc/fail2ban/examples/jail.conf
#  for additional examples.
#
# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
#
# Author: Yaroslav O. Halchenko <debian@onerussian.com>
#
# $Revision: 281 $
#

# The DEFAULT allows a global definition of the options. They can be override
# in each jail afterwards.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime  = 14400
maxretry = 3

# "backend" specifies the backend used to get files modification. Available
# options are "gamin", "polling" and "auto".
# yoh: For some reason Debian shipped python-gamin didn't work as expected
#      This issue left ToDo, so polling is default backend for now
backend = polling

#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = root@localhost

#
# ACTIONS
#

# Default banning action (e.g. iptables, iptables-new,
# iptables-multiport, shorewall, etc) It is used to define 
# action_* variables. Can be overriden globally or per 
# section within jail.local file
banaction = iptables-multiport

# email action. Since 0.8.1 upstream fail2ban uses sendmail
# MTA for the mailing. Change mta configuration parameter to mail
# if you want to revert to conventional 'mail'.
mta = sendmail

# Default protocol
protocol = tcp

#
# Action shortcuts. To be used to define action parameter

# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]

# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
              %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s]

# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
               %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s]

# Choose default action.  To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section 
action = %(action_)s

#
# JAILS
#

# Next jails corresponds to the standard configuration in Fail2ban 0.6 which
# was shipped in Debian. Enable any defined here jail by including
#
# [SECTION_NAME] 
# enabled = true

#
# in /etc/fail2ban/jail.local.
#
# Optionally you may override any other parameter (e.g. banaction,
# action, port, logpath, etc) in that section within jail.local

[ssh]

enabled = true
port    = ssh
filter  = sshd
logpath  = /var/log/auth.log
maxretry = 4

# Generic filter for pam. Has to be used with action which bans all ports
# such as iptables-allports, shorewall
[pam-generic]

enabled = false
# pam-generic filter can be customized to monitor specific subset of 'tty's
filter  = pam-generic
# port actually must be irrelevant but lets leave it all for some possible uses
port = all
banaction = iptables-allports
port     = anyport
logpath  = /var/log/auth.log
maxretry = 6

[xinetd-fail]

enabled   = false
filter    = xinetd-fail
port      = all
banaction = iptables-multiport-log
logpath   = /var/log/daemon.log
maxretry  = 2


[ssh-ddos]

enabled = true
port    = ssh
filter  = sshd-ddos
logpath  = /var/log/auth.log
maxretry = 6

#
# HTTP servers
#

[apache]

enabled = false
port    = http,https
filter  = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 6

# default action is now multiport, so apache-multiport jail was left
# for compatibility with previous (<0.7.6-2) releases
[apache-multiport]

enabled   = false
port      = http,https
filter    = apache-auth
logpath   = /var/log/apache*/*error.log
maxretry  = 6

[apache-noscript]

enabled = false
port    = http,https
filter  = apache-noscript
logpath = /var/log/apache*/*error.log
maxretry = 6

[apache-overflows]

enabled = false
port    = http,https
filter  = apache-overflows
logpath = /var/log/apache*/*error.log
maxretry = 2

 [nginx-auth]
 enabled = true
 filter = nginx-auth
 action = iptables-multiport[name=NoAuthFailures, port="http,https"]
 logpath = /var/log/nginx*/*error*.log
 bantime = 600 # 10 minutes
 maxretry = 6

 [nginx-login]
 enabled = true
 filter = nginx-login
 action = iptables-multiport[name=NoLoginFailures, port="http,https"]
 logpath = /var/log/nginx*/*access*.log
 bantime = 600 # 10 minutes
 maxretry = 6

 [nginx-badbots]
 enabled  = true
 filter = apache-badbots
 action = iptables-multiport[name=BadBots, port="http,https"]
 logpath = /var/log/nginx*/*access*.log
 bantime = 86400 # 1 day
 maxretry = 1

 [nginx-noscript]
 enabled = true
 action = iptables-multiport[name=NoScript, port="http,https"]
 filter = nginx-noscript
 logpath = /var/log/nginx*/*access*.log
 maxretry = 6
 bantime  = 86400 # 1 day

 [nginx-proxy]
 enabled = true
 action = iptables-multiport[name=NoProxy, port="http,https"]
 filter = nginx-proxy
 logpath = /var/log/nginx*/*access*.log
 maxretry = 0
 bantime  = 86400 # 1 day


#
# FTP servers
#

[vsftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = vsftpd
logpath  = /var/log/vsftpd.log
# or overwrite it in jails.local to be
# logpath = /var/log/auth.log
# if you want to rely on PAM failed login attempts
# vsftpd's failregex should match both of those formats
maxretry = 6


[proftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = proftpd
logpath  = /var/log/proftpd/proftpd.log
maxretry = 6


[wuftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = wuftpd
logpath  = /var/log/auth.log
maxretry = 6


#
# Mail servers
#

[postfix]

enabled  = false
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log


[couriersmtp]

enabled  = false
port     = smtp,ssmtp
filter   = couriersmtp
logpath  = /var/log/mail.log


#
# Mail servers authenticators: might be used for smtp,ftp,imap servers, so
# all relevant ports get banned
#

[courierauth]

enabled  = false
port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = courierlogin
logpath  = /var/log/mail.log


[sasl]

enabled  = false
port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = sasl
# You might consider monitoring /var/log/warn.log instead
# if you are running postfix. See http://bugs.debian.org/507990
logpath  = /var/log/mail.log


# DNS Servers


# These jails block attacks against named (bind9). By default, logging is off
# with bind9 installation. You will need something like this:
#
# logging {
#     channel security_file {
#         file "/var/log/named/security.log" versions 3 size 30m;
#         severity dynamic;
#         print-time yes;
#     };
#     category security {
#         security_file;
#     };
# };
#
# in your named.conf to provide proper logging

# !!! WARNING !!!
#   Since UDP is connectionless protocol, spoofing of IP and immitation
#   of illegal actions is way too simple.  Thus enabling of this filter
#   might provide an easy way for implementing a DoS against a chosen
#   victim. See
#    http://nion.modprobe.de/blog/archives/690-fail2ban-+-dns-fail.html
#   Please DO NOT USE this jail unless you know what you are doing.
#[named-refused-udp]
#
#enabled  = false
#port     = domain,953
#protocol = udp
#filter   = named-refused
#logpath  = /var/log/named/security.log

[named-refused-tcp]

enabled  = false
port     = domain,953
protocol = tcp
filter   = named-refused
logpath  = /var/log/named/security.log

Je viens de remarquer une erreur dans fail2ban log:

2012-04-25 14: 57: 29,359 fail2ban.actions.action: ERREUR iptables -N fail2ban-ssh-ddos


OS? CentOS / Ubuntu / ...? Sortie pour/etc/init.d/iptables status
Bart De Vos

@BartDeVos OS Ubuntu 11.04 ... "/etc/init.d/iptables status" = bash: /etc/init.d/iptables: Aucun fichier ou répertoire de ce type ... Remarque: J'utilise APF pour gérer iptables!
THpubs

Eh bien, il y a probablement votre problème. Que diriez-vous de désactiver apf, de configurer un pare-feu de base avec iptables et de voir si le problème persiste?
Bart De Vos

@ BartDeVos C'est le problème ... Je suis dans un système VPS ... Je pense que son openvz ... Donc, certains pare-feu comme UFW ne fonctionneront pas ici!
THpubs

Pouvez-vous courir ufw enable?
Bart De Vos

Réponses:


22

Fail2Ban utilise le fichier /etc/fail2ban/jail.localet recherchez la [ssh]section, vous pouvez y changer le port.

[ssh]
enabled  = true
port     = ssh

Vous pouvez changer la portvaleur en n'importe quel entier positif.

Si cela ne fonctionne pas et que vous souhaitez regarder plus loin, jetez un œil /etc/fail2ban/jail.conf, il devrait y avoir quelque chose comme:

 logpath = /var/log/auth.log

C'est ce que fail2ban utilise pour détecter les fausses connexions.

S'il ne fonctionne pas correctement, vous pouvez essayer plusieurs choses pour identifier le problème. Commencez par vérifier s'il est installé:

dpkg -l |grep fail   

Vérifiez si le service est en cours d'exécution:

/etc/init.d/fail2ban status 

Vérifiez si votre prison SSH est configurée:

sudo fail2ban-client status  

Vérifiez le fichier journal:

fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf

Vérifiez votre date / heure:

date && tail -2 /var/log/auth.log

(Vous devez d'abord obtenir la date, suivie des dernières lignes auth.log. Si vous ne parvenez toujours pas à localiser l'erreur, ajoutez votre fichier de configuration à votre message.


Cela ne semble pas fonctionner ... Ne bloque pas mes échecs de connexion!
THpubs

1
Les journaux montrent que mon IP est bloquée ... Mais je peux toujours me connecter!
THpubs du

Quelle est la sortie pour iptables -L -v -net / ouservice iptables status
Bart De Vos

J'ai ajouté les sorties à la question ... veuillez la vérifier ...
THpubs

8
Cette réponse est trompeuse. Bien que fail2ban ne se soucie pas du port ssh pour la détection, il ne bloquera que le port standard (c'est-à-dire mauvais) (22) afin que l'utilisateur malveillant puisse continuer à se connecter au port non standard. Cette réponse contient des détails sur la modification du port bloqué.
robd

35

fail2ban détectera les tentatives de connexion avec le contenu du journal. fail2ban n'utilise pas de ports pour la détection, seulement pour bloquer.
Pour bloquer le bon port, vous devez dire à fail2ban lequel afin de configurer correctement iptable.
Dans /etc/fail2ban/jail.local:

[ssh]
enabled  = true
port     = ssh   <-- just modify this with your port    port = 1234

Une autre méthode consiste à tout bloquer des hôtes incriminés. Donc iptable en supprimera tous les paquets, pas seulement les ssh.
Au début de /etc/fail2ban/jail.local:

banaction = iptables-multiport     <-- regular blocking (one or several ports)
banaction = iptables-allports      <-- block everything

Avec iptables-allportsvous n'avez pas à vous soucier des ports. Laissez simplement ceux par défaut.


Génial ... cela fonctionne dans une certaine mesure .. Mais je viens de remarquer une erreur dans le journal fail2ban: "2012-04-25 14: 57: 29,359 fail2ban.actions.action: ERREUR iptables -N fail2ban-ssh-ddos" également il ne me bloquera pas si je ne me connecte pas ... Il ne me bloquera que si je le fais très rapidement. Si j'attends que SSH dise que le mot de passe est incorrect, cela ne me bloquera pas!
THpubs

2
J'ai bien peur que tu doives lire le doc. Fail2ban a des paramètres pour régler le nombre de tentatives avant d'être bloqué.
Gregory MOUSSAT

7

En bref: si vous avez changé le numéro de port ssh VOUS DEVEZ L'AJOUTER DANS LE jail.local fichier!

Par exemple: (j'utilise SSH, SFTP sur le port 1234)

dans jail.local:

[ssh]

enabled  = true

port     = ssh,sftp,1234

filter   = sshd

logpath  = /var/log/auth.log

maxretry = 6

Merci, a fonctionné comme prévu, il suffit de modifier le chemin du journal vers / var / log / secure
AMB

0

Je sais que cela ne répond pas strictement à la question, mais de toute façon ...

Pour résoudre le problème, vous pouvez également envisager de conserver les ports standard dans la configuration de votre serveur, puis de faire le NAT dans votre routeur.

Par exemple, dans ma configuration, je n'utilise pas non plus de port standard pour ssh de l'extérieur, mais ma configuration de serveur est standard pour ssh (ainsi que pour ftp, vpn, etc.) J'ouvre simplement des ports non standard dans le routeur et les faire transmettre au port standard.

Cette façon de faire me fait gagner beaucoup de temps lors de la configuration de ma configuration.


0

Je sais que c'est un vieux fil mais c'est ce qui apparaît sur une recherche Google pour ce sujet. Je n'ai vu personne donner la réponse la plus correcte (imo) alors la voici.

Pour modifier globalement la définition du port nommé Linux, accédez à /etc/services

ssh             22/tcp
ssh             22/udp

Il n'est pas nécessaire de modifier quoi que ce soit dans la configuration fail2ban ou dans toute autre application utilisant des ports nommés Linux.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.