¿Cuál es la configuración predeterminada de fail2ban para los intentos de inicio de sesión de SSH?

6

Traté de bloquearme desde mi propio servidor para probar si fail2ban funciona correctamente, así que intenté iniciar sesión en ssh y usé una contraseña incorrecta una y otra vez. Pero solo fui bloqueado después de que fallaran 13 inicios de sesión en lugar de los 6 predeterminados.

Eliminé fail2ban con --purge y lo volví a poner, así que debería haber por defecto en /etc/fail2ban/jail.conf ahora. Así es como se ve en mi servidor:

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime  = 600
maxretry = 3

...
[ssh]

enabled = true
port    = ssh
filter  = sshd
logpath  = /var/log/auth.log
maxretry = 6

Así que, según tengo entendido, para ssh debería haber maxretry 6 ahora. ¿Por qué podría intentar 12 veces sin ser bloqueado?

También probé un ataque de fuerza bruta con THC-Hydra :

hydra -l john -P /tmp/pass.txt myserver.de ssh

y vi en /var/log/auth.log que hydra intentó de 20 a 30 intentos seguidos sin ser bloqueado. vea mi registro aquí: enlace

más información:

desinstalé fail2ban y luego recibí algunos mensajes en /var/log/auth.log durante mi hydra attack like

sshd[9286]: Failed password for john from 123.456.123.456 port 54705 ssh2
sshd[9286]: Failed password for john from 123.456.123.456 port 54698 ssh2
...
sshd[9280]: PAM service(sshd) ignoring max retries; 5 > 3
...
sshd[9286]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= 
...
sshd[9285]: PAM service(sshd) ignoring max retries; 6 > 3

¿quizás ssh sea redirigido a otro puerto cada vez?

No me bloquearon esta vez, así que fail2ban está funcionando, si está instalado.

    
pregunta rubo77 16.12.2012 - 04:26
fuente

1 respuesta

7

Creo que estás viendo una combinación de dos cosas:

  1. La latencia entre el momento en que sshd envía la cadena al registro, la hora en que syslog la escribe en el disco, la hora fail2ban la recoge, la analiza e inyecta una regla de iptables en el conjunto en ejecución y la hora en que el kernel Comienza a prestar atención a las nuevas reglas de filtrado. Es por eso que ve entradas "Ya prohibidas" en fail2ban.log.
  2. PAM, login.defs y sshd intentan bloquear reintentos sucesivos. Si se da cuenta, dice sshd[9280]: PAM service(sshd) ignoring max retries; 5 > 3 , que PAM le dice que hay "reintento = 3" en uno de sus módulos (probablemente /etc/pam.d/password-auth) e ignorará cualquier otra solicitud de autenticación de sshd dentro de la misma sesión. Sshd continuará intentando hasta que agote la configuración de MaxAuthTries (el valor predeterminado es 6, creo), momento en el que terminará la conexión. Este probablemente crea diferentes entradas de registro que fail2ban no analiza como intentos fallidos de inicio de sesión. Solo una conjetura en este caso.

HTH.

    
respondido por el mricon 17.12.2012 - 17:14
fuente

Lea otras preguntas en las etiquetas