Log Fail2ban preenchido com entradas dizendo "fail2ban.filter: AVISO IP determinado usando a pesquisa DNS: .."

11

Meu log fail2ban at /var/log/fail2ban.logé completamente preenchido com entradas dizendo:

fail2ban.filter : WARNING Determined IP using DNS Lookup: [IP address]

Eu acho que isso pode ter começado depois que eu mudei minha porta ssh ...

Alguma idéia de qual é a causa disso e como impedi-lo?

linux ubuntu log-files fail2ban ip-blocking Dirk Calloway
fonte

Respostas:

9

Teve o mesmo problema.

Solução simples: adicione a seguinte linha na parte superior do seu /etc/fail2ban/jail.confarquivo, na [DEFAULT]seção

usedns = no

Para entender por que seu arquivo de log está sendo preenchido com avisos, consulte a página a seguir no wiki do Fail2Ban . É basicamente para impedir que as pessoas que manipulam registros PTR de seus IPs de ataque injetem valores falsos em seus logs.

qux
fonte
1
Isso não abrirá a possibilidade de ataque se os usuários fizerem tentativas de login para origens de nome de host (já que neste caso os nomes de host serão ignorados)? Talvez eu tenha lido os documentos errado, mas parece que isso pode ser uma má ideia.
Quinn Comendant 27/07/2015
2
Além disso, a documentação diz: A solução é definir todos os serviços para não fazer pesquisas reversas de DNS e, em vez disso, registrar apenas endereços IP . O aviso dado por fail2ban ( IP determinado usando a pesquisa DNS ) indica que algum serviço está registrando nomes de host. A melhor solução é determinar qual serviço é e desativar as pesquisas de DNS para ele. A configuração usedns = nointerrompe os avisos e evita o bloqueio de redes PTR falsificadas, mas deixa o serviço que está registrando nomes de host completamente desprotegido pelo fail2ban.
Quinn Comendant
1

Verifique o registro PTR do [endereço IP] e compare o nome resolvido com o endereço IP original, ou seja, 

drill -x ip_address or dig -x ip_address or host ip_address

Em seguida, compare o resultado com:

drill result or dig result or host result

Isto deveria ser o mesmo. Caso contrário, o atacante alterou o PTR. Você pode modificar a usednsdiretiva para "não" ou "avisar" em jail.conf.

plluksie
fonte