Dziennik błędów Fail2ban wypełniony wpisami „fail2ban.filter: OSTRZEŻENIE Określony adres IP za pomocą wyszukiwania DNS: ..”

12

Mój dziennik fail2ban w /var/log/fail2ban.logjest całkowicie wypełniony wpisami:

fail2ban.filter : WARNING Determined IP using DNS Lookup: [IP address]

Myślę, że mogło się to rozpocząć po zmianie portu ssh ...

Masz pojęcie, co to jest przyczyną i jak to zatrzymać?

linux ubuntu log-files fail2ban ip-blocking Dirk Calloway
źródło

Odpowiedzi:

10

Miałem ten sam problem.

Proste rozwiązanie: dodaj następujący wiersz u góry /etc/fail2ban/jail.confpliku, w [DEFAULT]sekcji

usedns = no

Aby zrozumieć, dlaczego plik dziennika jest wypełniany ostrzeżeniami, zapoznaj się z następującą stroną w wiki wiki Fail2Ban . Zasadniczo ma to na celu zapobieganie manipulowaniu rekordem PTR adresów IP ataku w celu wstrzyknięcia fałszywych wartości do dzienników.

qux
źródło
1
Czy nie otworzy to możliwości ataku, jeśli użytkownicy podejmą próby zalogowania się w celu podania nazwy hosta (ponieważ nazwy hostów będą w tym przypadku ignorowane)? Być może źle przeczytałem dokumenty, ale wydaje się, że to zły pomysł.
Quinn Comendant
2
Dokumentacja mówi również, że rozwiązaniem jest ustawienie wszystkich usług tak, aby nie wykonywały wyszukiwania wstecznego DNS, a zamiast tego rejestrowały tylko adresy IP . Ostrzeżenie podane przez fail2ban ( Określone IP za pomocą DNS Lookup ) wskazuje, że niektóre usługi rejestrują nazwy hostów. Najlepszym rozwiązaniem jest określenie, która to usługa, i wyłączenie wyszukiwania DNS dla niej. Ustawienie usedns = nozatrzymuje ostrzeżenia i zapobiega blokowaniu sfałszowanych sieci PTR, ale pozostawia usługę, która rejestruje nazwy hostów całkowicie niezabezpieczoną przez fail2ban.
Quinn Comendant
2

Sprawdź rekord PTR [adresu IP] i porównaj rozpoznaną nazwę z oryginalnym adresem IP, tj 

drill -x ip_address or dig -x ip_address or host ip_address

Następnie porównaj wynik z:

drill result or dig result or host result

Powinno być tak samo. Jeśli nie, atakujący zmienił PTR. Możesz zmienić usednsdyrektywę na „no” lub „warn” w jail.conf.

plluksie
źródło