Журнал Fail2ban заполнен записями, в которых говорится «fail2ban.filter: WARNING Определенный IP-адрес с помощью DNS Lookup: ..»

11

Мой журнал fail2ban at /var/log/fail2ban.logполностью заполнен записями, в которых говорится:

fail2ban.filter : WARNING Determined IP using DNS Lookup: [IP address]

Я думаю, что это могло начаться после того, как я изменил свой SSH-порт ...

Есть идеи, в чем причина и как это остановить?

linux ubuntu log-files fail2ban ip-blocking Дирк Кэллоуэй
источник

Ответы:

9

Была такая же проблема.

Простое решение: добавьте следующую строку вверху вашего /etc/fail2ban/jail.confфайла, в [DEFAULT]разделе

usedns = no

Чтобы понять, почему ваш файл журнала заполняется предупреждениями, обратитесь к следующей странице в Fail2Ban wiki . Это в основном не позволяет людям манипулировать записями PTR своих IP-адресов атак, чтобы вводить ложные значения в ваши журналы.

QUX
источник
1
Не откроет ли это возможность для атаки, если пользователи попытаются войти в систему для определения имени хоста (поскольку в этом случае имена хостов будут просто игнорироваться)? Возможно, я неправильно прочитал документы, но, похоже, это плохая идея.
Куинн Комендант
2
Кроме того, документация гласит : решение состоит в том, чтобы настроить все службы, чтобы они не выполняли обратный поиск DNS, а вместо этого регистрировали только IP-адреса . Предупреждение, которое дает fail2ban ( определенный IP-адрес с использованием поиска DNS ), указывает, что некоторые службы регистрируют имена хостов. Лучшее решение - определить, какой это сервис, и отключить поиск DNS для него. Настройка usedns = noостанавливает предупреждения и предотвращает блокировку поддельных сетей PTR, но оставляет службу, которая регистрирует имена хостов, полностью незащищенной с помощью fail2ban.
Куинн Комендант
1

Проверьте запись PTR [IP-адрес] и сравните разрешенное имя с исходным IP-адресом, т.е. 

drill -x ip_address or dig -x ip_address or host ip_address

Затем сравните результат с:

drill result or dig result or host result

Так должно быть. Если это не так - злоумышленник изменил PTR. Вы можете изменить usednsдирективу на «нет» или «предупредить» в jail.conf.

plluksie
источник