Fail2ban 로그에 "fail2ban.filter : 경고 DNS 조회를 사용한 IP 결정 : .."이라는 항목이 입력되었습니다.

12

내 fail2ban 로그 /var/log/fail2ban.log는 다음과 같은 항목으로 완전히 채워져 있습니다.

fail2ban.filter : WARNING Determined IP using DNS Lookup: [IP address]

내 ssh 포트를 변경 한 후 이것이 시작되었을 수 있습니다 ...

이 원인의 원인과 중지 방법을 알고 있습니까?

— 더크 캘러웨이
소스

10

같은 문제가 있었다.

간단한 해결책 : /etc/fail2ban/jail.conf파일 상단의 [DEFAULT]섹션 에서 다음 줄을 추가 하십시오.

usedns = no

로그 파일이 경고로 채워지는 이유를 이해하려면 Fail2Ban 위키 의 다음 페이지를 참조하십시오 . 기본적으로 사람들이 자신의 공격 IP에 대한 PTR 레코드를 조작하여 사용자의 로그에 잘못된 값을 주입하는 것을 방지합니다.

— qux
소스

1

사용자가 호스트 이름 원점에 로그인을 시도 할 경우 공격 가능성이 열리지 않습니까 (이 경우 호스트 이름은 무시되므로)? 아마도 내가 문서를 잘못 읽었을 수도 있지만 이것은 나쁜 생각 일 수 있습니다.

— Quinn Comendant

2

또한 이 솔루션은 모든 서비스가 DNS 조회를 역방향으로 수행하지 않고 IP 주소 만 기록하도록 설정하는 것 입니다. fail2ban ( DNS 조회를 사용하여 결정된 IP)이 제공하는 경고 는 일부 서비스가 호스트 이름을 로깅하고 있음을 나타냅니다. 가장 좋은 솔루션은 어떤 서비스인지 확인하고 해당 서비스에 대한 DNS 조회를 비활성화하는 것입니다. 설정 usedns = no하면 경고가 중지되고 스푸핑 된 PTR 네트워크가 차단되지 않지만 호스트 이름을 기록하는 서비스는 fail2ban에 의해 완전히 보호되지 않습니다.

— Quinn Comendant

2

[IP 주소]의 PTR 레코드를 확인하고 확인 된 이름을 원래 IP 주소와 비교하십시오.

drill -x ip_address or dig -x ip_address or host ip_address

그런 다음 결과를 다음과 비교하십시오.

drill result or dig result or host result

동일해야합니다. 그렇지 않은 경우 공격자는 PTR을 변경했습니다. 에서 usedns지시문을 "no"또는 "warn"으로 수정할 수 있습니다 jail.conf.

— 플루 키
소스