fail2ban [LÖST]

[Daniel-10]

Hejsan!

Har installerat fail2ban men det verkar inte riktigt fungera?

1. Jag har ändrat jail.conf
[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime = 600
maxretry = 1

[ssh]

enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 1

2. Bootar om servern.
Testar med putty. Skriver rätt user men fel pw 6ggr.

3. Loggar nu in med rätt user/pw och kollar följande.

4. IPTABLES -L

Chain fail2ban-ssh (1 references)
target prot opt source destination
DROP all -- *************.se anywhere
RETURN all -- anywhere anywhere

5. /var/log/fail2ban.log
2010-10-26 19:47:58,022 fail2ban.actions: WARNING [ssh] Ban ***.***.***.*** <mitt ip>
Efter 10min så får jag samma rad som ovan fast med unban istället.

Är detta rätt?

Jag kan fortfarande logga in på servern innan det bli unban i loggen.
Servern har eget ip och jag sitter inte på samma burk å testar (127.0.0.1)
Spelar det någon roll om jag har ändrat port till ssh från 22 till annan?

/Daniel

[Emil.s]

Spelar det någon roll om jag har ändrat port till ssh från 22 till annan?

/Daniel

Eftersom det står klart och tydligt "port = ssh" i konfigurationen så är det nog mycket möjligt att det är det som krånglar.

[Daniel-10]

Tja... Precis som du sa så är det port 22 som gäller.
Tog för givet att när det stod "port = ssh" att fail2ban skulle läsa av vilken port som var skriven i "sshd_config" och att fail2ban skulle gå efter det.

Jag hastade iväg med att ändra port för ssh innan jag testat fail2ban på port 22.

Ett litet missöde av många kommande... noob som jag är.

/Daniel

[Emil.s]

Ja, det är nog ett vanligt nybörjarmisstag.
När det står t.ex "port = ssh/http/ftp" eller liknande så är det portnummren definerade i /etc/services som används.
Kan vara bra att känna till.

MVH Emil