web-dev-qa-db-ja.com

「fail2ban.filter:警告DNSルックアップを使用してIPを判別:..」というエントリで満たされたFail2banログ

私のfail2banログ/var/log/fail2ban.logは、次のようなエントリで完全に満たされています。

fail2ban.filter : WARNING Determined IP using DNS Lookup: [IP address]

これは、sshポートを変更した後に始まったと思います...

これの原因は何か、それを止める方法はありますか?

12
Dirk Calloway

同じ問題があった。

簡単な解決策:/etc/fail2ban/jail.confファイルの上部の[DEFAULT]セクションに次の行を追加します

usedns = no

ログファイルが警告でいっぱいになる理由を理解するには、 Fail2Ban wikiの次のページ を参照してください。それは基本的に、攻撃IPのPTRレコードを操作して、ログに誤った値を挿入するのを防ぐためです。

10
qux

[IPアドレス]のPTRレコードを確認し、解決された名前を元のIPアドレスと比較します。

drill -x ip_address or Dig -x ip_address or Host ip_address

次に、結果を以下と比較します。

drill result or Dig result or Host result

それは同じでなければなりません。そうでない場合-攻撃者はPTRを変更しました。 jail.confusednsディレクティブを「no」または「warn」に変更できます。

2
plluksie