Registro Fail2ban riempito con voci che dicono "fail2ban.filter: AVVERTENZA IP determinato utilizzando Ricerca DNS: .."

12

Il mio registro fail2ban su /var/log/fail2ban.logè completamente pieno di voci che dicono:

fail2ban.filter : WARNING Determined IP using DNS Lookup: [IP address]

Penso che questo potrebbe essere iniziato dopo aver cambiato la mia porta ssh ...

Hai idea di quale sia la causa di ciò e come fermarlo?

linux  ubuntu  log-files  fail2ban  ip-blocking 
Dirk Calloway
fonte

Risposte:

10

Aveva lo stesso problema.

Soluzione semplice: aggiungi la seguente riga nella parte superiore del /etc/fail2ban/jail.conffile, nella [DEFAULT]sezione

usedns = no

Per capire perché il file di registro è pieno di avvisi, consultare la pagina seguente nel wiki Fail2Ban . Fondamentalmente è per impedire alle persone di manipolare il record PTR dei propri IP di attacco per iniettare valori falsi nei log.

qux
fonte
1
Questo non aprirà la possibilità di attacco se gli utenti effettuano tentativi di accesso per le origini dei nomi host (poiché i nomi host verranno ignorati in questo caso)? Forse ho letto male i documenti, ma sembra che questa potrebbe essere una cattiva idea.
Quinn Comendant,
2
Inoltre, la documentazione afferma che la soluzione è impostare tutti i servizi in modo da non effettuare ricerche DNS inverse e invece registrare solo gli indirizzi IP . L'avvertimento fornito da fail2ban ( IP determinato utilizzando la ricerca DNS ) indica che alcuni servizi stanno registrando nomi host. La soluzione migliore è determinare quale servizio è e disabilitare le ricerche DNS per esso. L'impostazione usedns = noarresta gli avvisi e impedisce il blocco delle reti PTR contraffatte, ma lascia il servizio che registra i nomi host completamente non protetti da fail2ban.
Quinn Comendant,
2

Controllare il record PTR dell '[indirizzo IP] e confrontare il nome risolto con l'indirizzo IP originale, ad es 

drill -x ip_address or dig -x ip_address or host ip_address

Quindi confrontare il risultato con:

drill result or dig result or host result

Dovrebbe essere lo stesso. In caso contrario, l'attaccante ha modificato il PTR. È possibile modificare la usednsdirettiva in "no" o "avvertire" in jail.conf.

plluksie
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.