Verifique se fail2ban está em execução?

11

Acabei de instalar e configurar o fail2ban. Eu quero ter certeza de que está funcionando. Não quero me bloquear do servidor, por isso não consigo entrar (mal) várias vezes. Como vejo que o fail2ban está funcionando?

networking security process bernie2436
fonte
1
tente issosudo fail2ban-client status
NineCattoRules
Você deve selecionar uma resposta correta.
Jacob

Respostas:

6

Basta digitar:

/etc/init.d/fail2ban start

e, em seguida, para saber o status do tipo fail2ban:

/etc/init.d/fail2ban status

como sabemos, todos os serviços estão disponíveis no /etc/init.d/.

abdus
fonte
1
Isso mostra se o serviço está sendo executado . Não mostra se faz o que deveria fazer.
Jenny D
1
É verdade que este comando apenas mostra que o serviço está sendo executado. Mas isso também é útil. O título Diz "Verifique se fail2ban está em execução?". Em vez de diminuir o voto desta resposta, talvez sugira que o OP altere o título da pergunta.
Charlie
systemctl status fail2banparece produzir a mesma informação, para nós que costumamos usar systemctl.
usar o seguinte comando
2

Para uma primeira verificação rápida, verifique se fail2ban adicionou algumas regras de iptable:

sudo iptables -L f2b-sshd

Isto é o que eu tenho como resultado:

target     prot opt source               destination
REJECT     all  --  mgt.pnu.ac.th        anywhere             reject-with icmp-port-unreachable
REJECT     all  --  plex1.domin8.media   anywhere             reject-with icmp-port-unreachable
REJECT     all  --  218.92.0.197         anywhere             reject-with icmp-port-unreachable
REJECT     all  --  223.68.10.247        anywhere             reject-with icmp-port-unreachable
REJECT     all  --  promote.cache-dns.local  anywhere             reject-with icmp-port-unreachable
RETURN     all  --  anywhere             anywhere

Parece que meu servidor atrai algum interesse. ;)

andreas
fonte
1

Basta disponibilizar a porta 22 para a Internet (é claro, depois de proteger a chave pública) e você verá os logs sendo preenchidos.

Agora, eu recomendaria usar um proxy / encapsulamento para testar isso, apenas encaminhe a conexão ssh por esse proxy e falhe ao fazer logon algumas vezes. Deve ser o suficiente.

Não faça isso a partir do seu próprio sistema!

Você pode ser trancado do lado de fora com as chaves dentro do carro.

Braiam
fonte
1
Sim, assim que sua porta ssh padrão estiver publicamente disponível, os bots baterão. Deixe-o rodar algumas horas e verifique o arquivo de log fail2ban, tenho certeza de que você terá endereços (principalmente chineses) nele.
Jake
0

Peça a um amigo para tentar fazer login, usar um smartphone ou acessar um ponto de acesso público e tentar a partir daí, ou acessar a Internet de seus vizinhos, ou apenas esperar até que algum scriptkiddo tente fazer login.

Existem muitas maneiras, mas todas elas envolvem "apenas faça" ...

Wouter Verhelst
fonte