Frage Wie man alle verbotenen IP mit fail2ban zeigt?


Wenn ich diesen Befehl ausführe fail2ban-client status sshd Ich habe das:

Status for the jail: sshd
|- Filter
|  |- Currently failed: 1
|  |- Total failed:     81
|  `- File list:        /var/log/auth.log
`- Actions
   |- Currently banned: 2
   |- Total banned:     8
   `- Banned IP list:   218.65.30.61 116.31.116.7

Es zeigt nur zwei IP in der gesperrten IP-Liste anstelle von 8, wie Total Banned sagt.

Während ich es tue tail -f /var/log/auth.log Ich habe das:

Mar 29 11:08:40 DBSERVER sshd[29163]: error: maximum authentication attempts exceeded for root from 218.65.30.61 port 50935 ssh2 [preauth]
Mar 29 11:08:40 DBSERVER sshd[29163]: Disconnecting: Too many authentication failures [preauth]
Mar 29 11:08:40 DBSERVER sshd[29163]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.65.30.61  user=root
Mar 29 11:08:40 DBSERVER sshd[29163]: PAM service(sshd) ignoring max retries; 6 > 3
Mar 29 11:08:44 DBSERVER sshd[29165]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.65.30.61  user=root
Mar 29 11:08:46 DBSERVER sshd[29165]: Failed password for root from 218.65.30.61 port 11857 ssh2
Mar 29 11:09:01 DBSERVER CRON[29172]: pam_unix(cron:session): session opened for user root by (uid=0)
Mar 29 11:09:01 DBSERVER CRON[29172]: pam_unix(cron:session): session closed for user root
Mar 29 11:10:01 DBSERVER CRON[29226]: pam_unix(cron:session): session opened for user root by (uid=0)
Mar 29 11:10:02 DBSERVER CRON[29226]: pam_unix(cron:session): session closed for user root
Mar 29 11:10:18 DBSERVER sshd[29238]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=113.122.43.185  user=root
Mar 29 11:10:20 DBSERVER sshd[29238]: Failed password for root from 113.122.43.185 port 46017 ssh2
Mar 29 11:10:33 DBSERVER sshd[29238]: message repeated 5 times: [ Failed password for root from 113.122.43.185 port 46017 ssh2]
Mar 29 11:10:33 DBSERVER sshd[29238]: error: maximum authentication attempts exceeded for root from 113.122.43.185 port 46017 ssh2 [preauth]
Mar 29 11:10:33 DBSERVER sshd[29238]: Disconnecting: Too many authentication failures [preauth]
Mar 29 11:10:33 DBSERVER sshd[29238]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=113.122.43.185  user=root
Mar 29 11:10:33 DBSERVER sshd[29238]: PAM service(sshd) ignoring max retries; 6 > 3
Mar 29 11:11:36 DBSERVER sshd[29245]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.7  user=root
Mar 29 11:11:38 DBSERVER sshd[29245]: Failed password for root from 116.31.116.7 port 24892 ssh2
Mar 29 11:11:43 DBSERVER sshd[29245]: message repeated 2 times: [ Failed password for root from 116.31.116.7 port 24892 ssh2]
Mar 29 11:11:43 DBSERVER sshd[29245]: Received disconnect from 116.31.116.7 port 24892:11:  [preauth]
Mar 29 11:11:43 DBSERVER sshd[29245]: Disconnected from 116.31.116.7 port 24892 [preauth]
Mar 29 11:11:43 DBSERVER sshd[29245]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.7  user=root
Mar 29 11:12:39 DBSERVER sshd[29247]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.7  user=root
Mar 29 11:12:41 DBSERVER sshd[29247]: Failed password for root from 116.31.116.7 port 26739 ssh2
Mar 29 11:12:45 DBSERVER sshd[29247]: message repeated 2 times: [ Failed password for root from 116.31.116.7 port 26739 ssh2]
Mar 29 11:12:45 DBSERVER sshd[29247]: Received disconnect from 116.31.116.7 port 26739:11:  [preauth]
Mar 29 11:12:45 DBSERVER sshd[29247]: Disconnected from 116.31.116.7 port 26739 [preauth]
Mar 29 11:12:45 DBSERVER sshd[29247]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.7  user=root
Mar 29 11:13:41 DBSERVER sshd[29249]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.7  user=root
Mar 29 11:13:43 DBSERVER sshd[29249]: Failed password for root from 116.31.116.7 port 27040 ssh2

verbotene IP versucht immer noch.

Wie auch immer, wenn ich mich erkundige sudo iptables -L INPUT -v -n Ich habe das:

Chain INPUT (policy ACCEPT 228 packets, 18000 bytes)
 pkts bytes target     prot opt in     out     source               destination
 6050  435K f2b-sshd   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 22

Was mache ich hier falsch?

Wie kann ich alle gesperrten IP-Listen anzeigen?

Danke im Voraus.


21
2018-03-29 04:08


Ursprung


"Total" bedeutet insgesamt jemals verboten, nicht insgesamt derzeit verboten. Der einzige Ort, an dem Sie zuvor gesperrte Adressen finden, ist in den Protokollen (wenn Sie sie behalten haben). - OrangeDog


Antworten:


Bitte beachten Sie, dass das Fail2Ban-Verbot von IP temporärer Natur ist.

Die beste Möglichkeit, sich die vollständige Liste der blockierten IPs anzusehen, wäre die Überprüfung der Protokolldatei:

sudo zgrep 'Ban:' /var/log/fail2ban.log*

Der folgende Befehl kann Ihnen auch eine saubere Liste von Regeln geben:

sudo iptables -L INPUT -v -n | less

11
2018-03-29 05:12



Es gibt keinen Doppelpunkt in meinen Logfiles (also benötigt man um den Grep anzupassen). Als Kommentar und nicht als Edit zu verlassen, da ich nicht weiß, wie verbreitet das ist / wenn es sich um eine aktuelle Änderung handelt. - kwah
Beachten Sie, dass das Auflisten der iptables-Regeln nur funktioniert, wenn iptables Ihre Sperraktion ist. Manchmal ist das nicht der Fall. - gilad mayani


Um die komplette Linie von iptables zu sehen:

# sudo iptables -L -n | awk '$1=="REJECT" && $4!="0.0.0.0/0"'

Um nur die IP-Adresse anzuzeigen:

# sudo iptables -L -n | awk '$1=="REJECT" && $4!="0.0.0.0/0" {print $4}'

Sie können "REJECT" je nach Fall durch "DROP" ändern.


5
2017-11-04 08:47





Nur ein Vorwort:

  • "Total banned" sind die gesamten IPs, die für dieses Gefängnis gesperrt wurden (und wahrscheinlich wurden unbanned).
  • "Derzeit verboten" sind die EINZIGEN IPs, die derzeit für dieses Gefängnis gesperrt sind (und die IP-Liste bestätigt dies).

Hoffentlich hilft das.


4
2017-07-03 16:36





Wenn Sie die Liste der gesperrten IP mit ihrem Timeout anzeigen möchten (Timeout läuft ab, werden sie aus dem gesperrten Pool entfernt), können Sie Folgendes verwenden:

ipset list

2
2017-10-16 14:21





Dies zeigt, was derzeit verboten ist (REJECT) im Chain fail2ban-ssh-Teil von iptables.

sudo iptables -L fail2ban-ssh -v -n


1
2017-10-31 19:09