Log Fail2ban diisi dengan entri yang mengatakan “fail2ban.filter: PERINGATAN Menentukan IP menggunakan Pencarian DNS: ..”

11

Log fail2ban saya di /var/log/fail2ban.logsepenuhnya diisi dengan entri yang mengatakan:

fail2ban.filter : WARNING Determined IP using DNS Lookup: [IP address]

Saya pikir ini mungkin sudah dimulai setelah saya mengubah port ssh saya ...

Adakah yang tahu apa penyebabnya dan bagaimana cara menghentikannya?

linux ubuntu log-files fail2ban ip-blocking Dirk Calloway
sumber

Jawaban:

9

Punya masalah yang sama.

Solusi sederhana: tambahkan baris berikut di bagian atas /etc/fail2ban/jail.conffile Anda , di [DEFAULT]bagian

usedns = no

Untuk memahami mengapa file log Anda diisi dengan peringatan, lihat halaman berikut di wiki Fail2Ban . Ini pada dasarnya untuk mencegah orang memanipulasi catatan PTR dari IP serangan mereka untuk menyuntikkan nilai palsu di log Anda.

qux
sumber
1
Tidakkah ini membuka kemungkinan serangan jika pengguna melakukan upaya login untuk asal nama host (karena nama host hanya akan diabaikan dalam kasus ini)? Mungkin saya salah membaca dokumen, tapi sepertinya ini ide yang buruk.
Quinn Comendant
2
Juga, dokumentasi mengatakan, Solusinya adalah mengatur semua layanan untuk tidak melakukan pencarian DNS terbalik dan sebagai gantinya hanya mencatat alamat IP . Peringatan yang diberikan oleh fail2ban ( IP Ditentukan menggunakan Pencarian DNS ) menunjukkan bahwa beberapa layanan mencatat nama host. Solusi terbaik adalah menentukan layanan mana yang ada, dan menonaktifkan pencarian DNS untuknya. Pengaturan usedns = nomenghentikan peringatan dan akan mencegah pemblokiran jaringan PTR palsu, tetapi meninggalkan layanan yang mencatat nama host sepenuhnya tidak terlindungi oleh fail2ban.
Quinn Comendant
1

Periksa catatan PTR dari [alamat IP] dan bandingkan nama yang diselesaikan dengan alamat IP asli, yaitu 

drill -x ip_address or dig -x ip_address or host ip_address

Kemudian bandingkan hasilnya dengan:

drill result or dig result or host result

Itu harus sama. Jika tidak - penyerang mengubah PTR. Anda dapat mengubah usednsarahan ke "tidak" atau "memperingatkan" di jail.conf.

plluksie
sumber