Fail2ban लॉग प्रविष्टियों से भरा हुआ कह रही है "fail2ban.filter: WARNING निर्धारित IP का उपयोग DNS लुकआउट: ।।"

12

मेरा असफल 2 लॉग लॉग /var/log/fail2ban.logपूरी तरह से प्रविष्टियों से भरा हुआ है:

fail2ban.filter : WARNING Determined IP using DNS Lookup: [IP address]

मुझे लगता है कि मेरे ssh पोर्ट बदलने के बाद यह शुरू हुआ होगा ...

किसी भी विचार का कारण क्या है और इसे कैसे रोकें?

— डिर्क कॉलोवे
स्रोत

10

एक ही मुद्दा था।

सरल समाधान: अपनी /etc/fail2ban/jail.confफ़ाइल के शीर्ष पर , [DEFAULT]अनुभाग में निम्न पंक्ति जोड़ें

usedns = no

यह समझने के लिए कि आपकी लॉग फ़ाइल को चेतावनियों से क्यों भरा जा रहा है, Fail2Ban विकी में निम्नलिखित पृष्ठ से परामर्श करें । यह मूल रूप से अपने लॉग में झूठे मूल्यों को इंजेक्ट करने के लिए अपने हमले आईपी के पीटीआर रिकॉर्ड में हेरफेर करने वाले लोगों को रोकने के लिए है।

— qux
स्रोत

1

यदि उपयोगकर्ता होस्टनाम मूल के लिए लॉगिन प्रयास करते हैं (क्योंकि इस मामले में होस्टनाम को केवल अनदेखा किया जाएगा) तो क्या यह हमले की संभावना नहीं है? शायद मैंने डॉक्स को गलत पढ़ा है, लेकिन ऐसा लगता है कि यह एक बुरा विचार हो सकता है।

— क्विन कॉमेंडेंट

2

इसके अलावा, प्रलेखन का कहना है, समाधान सभी सेवाओं को रिवर्स DNS लुकअप न करने और केवल आईपी पते लॉग करने के लिए सेट करने के लिए है । Fail2ban ( डीएनएस लुकअप का उपयोग करके निर्धारित आईपी ) द्वारा दी गई चेतावनी इंगित करती है कि कुछ सेवा होस्टनाम में प्रवेश कर रही है। सबसे अच्छा समाधान यह निर्धारित करना है कि कौन सी सेवा है, और इसके लिए DNS लुकअप को अक्षम करें। सेटिंग usedns = noचेतावनी को रोकती है और स्पूफ किए गए पीटीआर नेटवर्क को ब्लॉक करने से रोकती है, लेकिन उस सेवा को छोड़ देती है जो होस्टनाम को पूरी तरह से विफल कर रही है।

— क्विन कॉमेंडेंट

2

[आईपी पते] के पीटीआर रिकॉर्ड की जाँच करें और मूल आईपी पते के साथ हल किए गए नाम की तुलना करें

drill -x ip_address or dig -x ip_address or host ip_address

फिर परिणाम की तुलना करें:

drill result or dig result or host result

यह समान होना चाहिए। यदि यह नहीं है - हमलावर ने पीटीआर को बदल दिया। आप usedns"नहीं" या "चेतावनी" में निर्देश को संशोधित कर सकते हैं jail.conf।

— plluksie
स्रोत