Journal Fail2ban rempli d'entrées indiquant «fail2ban.filter: AVERTISSEMENT IP déterminée à l'aide de la recherche DNS: ..»

12

Mon journal fail2ban à /var/log/fail2ban.logest complètement rempli d'entrées disant:

fail2ban.filter : WARNING Determined IP using DNS Lookup: [IP address]

Je pense que cela a peut-être commencé après avoir changé mon port ssh ...

Avez-vous une idée de la cause de cela et comment l'arrêter?

linux  ubuntu  log-files  fail2ban  ip-blocking 
Dirk Calloway
source

Réponses:

10

Eu le même problème.

Solution simple: ajoutez la ligne suivante en haut de votre /etc/fail2ban/jail.conffichier, dans la [DEFAULT]section

usedns = no

Pour comprendre pourquoi votre fichier journal est rempli d'avertissements, consultez la page suivante du wiki Fail2Ban . C'est essentiellement pour empêcher les gens de manipuler l'enregistrement PTR de leurs adresses IP d'attaque pour injecter de fausses valeurs dans vos journaux.

qux
source
1
Cela n'ouvrira-t-il pas la possibilité d'une attaque si les utilisateurs tentent de se connecter pour les origines du nom d'hôte (puisque les noms d'hôte seront simplement ignorés dans ce cas)? J'ai peut-être mal lu les documents, mais il semble que cela pourrait être une mauvaise idée.
Quinn Comendant
2
En outre, la documentation indique que la solution consiste à définir tous les services pour ne pas effectuer de recherches DNS inversées et pour enregistrer uniquement les adresses IP . L'avertissement donné par fail2ban ( IP déterminée à l'aide de la recherche DNS ) indique qu'un service enregistre les noms d'hôte. La meilleure solution consiste à déterminer de quel service il s'agit et à désactiver les recherches DNS pour celui-ci. Le réglage usedns = noarrête les avertissements et empêche le blocage des réseaux PTR usurpés, mais laisse le service qui enregistre les noms d'hôtes complètement non protégé par fail2ban.
Quinn Comendant
2

Vérifiez l'enregistrement PTR de l '[adresse IP] et comparez le nom résolu avec l'adresse IP d'origine, c'est-à-dire 

drill -x ip_address or dig -x ip_address or host ip_address

Comparez ensuite le résultat avec:

drill result or dig result or host result

Cela devrait être le même. Si ce n'est pas le cas, l'attaquant a modifié le PTR. Vous pouvez modifier la usednsdirective sur "non" ou "avertir" dans jail.conf.

plluksie
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.