fail2ban не ловит proftpd

Защита сервера от взлома, антивирус, файрвол, SSL-сертификаты и прочие вопросы, связанные с безопасностью данных.
Ответить
mesb
Сообщения: 100
Зарегистрирован: Чт дек 03, 2020 4:01 pm

fail2ban не ловит proftpd

Сообщение mesb » Сб фев 11, 2023 7:20 am

Приветствую.

centos7 и 1.0945 панель
В панели опции следить за демоном включены.
Однако по факту ничего не ловится.

Меня смущает это:

Код: Выделить всё

fail2ban-client status proftpd
Status for the jail: proftpd
|- Filter
|  |- Currently failed:	0
|  |- Total failed:	0
|  `- Journal matches:	
`- Actions
   |- Currently banned:	0
   |- Total banned:	0
   `- Banned IP list:
Сами регулярки отрабатывают судя по всему когда проверку делаешь:
fail2ban-regex /var/log/messages /etc/fail2ban/filter.d/proftpd.conf --print-all-missed

Однако в результатах например:

Lines: 10 lines, 0 ignored, 0 matched, 10 missed


У сервиса ssh корректно указан лог за которым ему нужно следить, здесь же этого нет у proftpd.

Попытался через jail.conf перетащить у proftpd:
;backend = %(proftpd_backend)s
backend = polling

Нужный лог в выводе status появился, однако результата чото пока всёравно неочень.

Нельзя ли глянуть что происходит?

mesb
Сообщения: 100
Зарегистрирован: Чт дек 03, 2020 4:01 pm

Re: fail2ban не ловит proftpd

Сообщение mesb » Сб фев 11, 2023 8:00 am

Вобщем надеюсь конструкторы панели посмотрят можно ли сделать лучше, но стало понятночто у нас не работают фильтры.
Таким образом просто в разделе фейл2бан создаём свой кастом фильтр, например proftpd-custom1 c таким содержимым для конфигурации и сервиса:

Код: Выделить всё

[proftpd-custom1]
enabled = false
bantime = 600
port = ftp
filter = proftpd-custom1
logpath = /var/log/messages
maxretry = 4
findtime = 3600
И к нему фильтр:

Код: Выделить всё

# fail2ban filter for the ProFTPD FTP daemon
[INCLUDES]

before = common.conf

[Definition]

_daemon = proftpd

failregex = \(\S+\[<HOST>\]\)[: -]+ USER \S+: no such user found from \S+ \[[0-9.]+\] to \S+:\S+\s*$
            \(\S+\[<HOST>\]\)[: -]+ USER \S+ \(Login failed\):.*\s+$
            \(\S+\[<HOST>\]\)[: -]+ Maximum login attempts \([0-9]+\) exceeded, connection refused.*\s+$
            \(\S+\[<HOST>\]\)[: -]+ SECURITY VIOLATION: \S+ login attempted\.\s+$
            \(\S+\[<HOST>\]\)[: -]+ Maximum login attempts \(\d+\) exceeded\s+$

ignoreregex =
Незабываем включить это флажочком нужным для нашего нового джейла, и вуаля, баны полетели пачками :)

Аватара пользователя
alenka
Сообщения: 1975
Зарегистрирован: Ср сен 27, 2017 11:10 am

Re: fail2ban не ловит proftpd

Сообщение alenka » Пн фев 13, 2023 3:50 pm

Скорее всего структура логов в обновленном пакете proftpd поменялась, из за этого не работает фильтр.
Вы можете скопировать фильтр по пути /etc/fail2ban/filter.d/proftpd.conf,
И по этому пути /etc/brainy/packet_manager/fail2ban/filter/centos/proftpd.conf(срабатывает во время переустановки fail2ban)
Фильтры в панели поправим.

mesb
Сообщения: 100
Зарегистрирован: Чт дек 03, 2020 4:01 pm

Re: fail2ban не ловит proftpd

Сообщение mesb » Пн фев 13, 2023 5:31 pm

alenka писал(а):
Пн фев 13, 2023 3:50 pm
Скорее всего структура логов в обновленном пакете proftpd поменялась, из за этого не работает фильтр.
Вы можете скопировать фильтр по пути /etc/fail2ban/filter.d/proftpd.conf,
И по этому пути /etc/brainy/packet_manager/fail2ban/filter/centos/proftpd.conf(срабатывает во время переустановки fail2ban)
Ага, тоесть в системе вообще нет обновлённого?
И наверное неверно их напрямую редактировать, вроде как можно из самой панели поидее, это я на всякий случай не стал оригинальные трогать.
Фильтры в панели поправим.
Спасибо!

Ответить