web-dev-qa-db-ja.com

Ubuntu 12.04.5 LTSでFail2Banをアップグレードして、「受信」フィルターをインストールするにはどうすればよいですか?

基本的な質問。

アップグレードしたバージョンのFail2BanをUbuntu12.04.5 LTS(Precise Pangolin)にインストールして、recidiveフィルターを設定するにはどうすればよいですか。 Ubuntu 12.04.5LTSはFail2Ban0.8.6をインストールし、recidiveフィルターを使用するにはFail2Ban0.8.7が必要です。

詳細。

私はUbuntu12.04.5 LTS(Precise Pangolin)サーバーの束を管理し、SSHブルートフォースの繰り返しの試みをブロックするために Fail2Ban をインストールしました。これらの攻撃はrootを標的とし、rootユーザーはこれらすべてのシステムで無効になっていますが、ミックスに保護の別のレイヤーを追加し、追加された「 SSHで失敗したログイン試行をふるいにかける必要があるというノイズ」auth.log

とにかく、デフォルトのリポジトリからUbuntu 12.04.5 LTS用にインストールされたFail2Banのバージョン(バージョン0.8.6)は、ほとんどの場合うまく機能します。しかし、繰り返しの違反者をブロックするためのサポートが不足しているようです。そして、これらのサーバーは間違いなく多くの持続的なブルートフォース攻撃を受けています。だから私はこれらのピエロがより長い間ブロックされていることを確認したいと思います。

“ fail2ban(UPDATED)で繰り返し違反者を永久に禁止する” というタイトルのこのブログ投稿を確認したところ、recidiveフィルターの使用をお勧めします。その投稿の残りの部分では、recidiveに相当するカスタマイズされたものを設定する方法を示していますが、recidiveなどの組み込みソリューションが存在する場合、カスタムソリューションを使用する必要はありません。

しかし、Fail2Ban0.8.6でrecidiveフィルターを設定してサービスを再起動しようとすると、フィルターrecidiveが存在しないと表示されません。

GitHubのFail2Ban変更ログを確認してください バージョン0.8.7の前後にrecidiveサポートが追加されたことがわかります。

Tom Hendrikx
 * [f94a121..] 'recidive' filter/jail to monitor fail2ban.conf to ban
   repeated offenders. Close gh-19

まあ、それは特別なことではありません。私は0.8.6を使用していますが、バージョン0.8.7でこれがサポートされています。

では、Ubuntu 12.04.5LTSにFail2Ban0.8.6より新しいものを簡単にインストールするにはどうすればよいですか? GitHubリポジトリのクローンを作成し、Debianブランチに切り替えて(UbuntuはDebianベースであるため)、バージョン0.9.3をインストールしようとしましたが、機能しているようです。しかし、スタートアップサービスは機能せず、構成ファイルを微調整するか、IPTables自体をアップグレードしない限り、Ubuntu 12.04.5LTSにインストールしたバージョンのIPTablesでは0.9.3が機能しないようです。

Ubuntu 12.04.5 LTSで機能するようにすべてを微調整する方法があるかもしれませんが、recidiveのサポートだけが必要で、他に何も気にしないので、それに対処する時間や意志がありません。 。私に何ができる?

2
JakeGould

ソースからFail2Ban0.9.3をインストールしようとしてイライラした後、カスタムPPAを検索しましたが、何も見つかりませんでした。しかし、その後 Fail2Banの公式Ubuntuパッケージページに出くわしました そしてそれは私にアイデアを与えました。 Fail2Banの公式Ubuntu14.10(Utopic Unicorn)パッケージはバージョン0.8.13です。それをインストールしてみませんか?

だから私は次のようにFail2BanのUbuntu12.04.5インストールを取り除きました:

Sudo aptitude purge fail2ban

次に、次のようにいくつかのFail2Ban依存関係を手動でインストールしました。

Sudo aptitude install gamin libgamin0 python-central python-gamin python-support

それが終わったら、Fail2Ban0.8.13の生のソースUbuntu.debアーカイブを次のように取得しました。

curl -O -L http://old-releases.ubuntu.com/ubuntu/pool/universe/f/fail2ban/fail2ban_0.8.13-1_all.deb

そして、次のようにdpkgを使用してインストールしました。

Sudo dpkg -i fail2ban_0.8.13-1_all.deb

それが行われたとき、私はこのようにインストールされたもののバージョンをチェックしました:

fail2ban-client --version

そしてそれはうまくいきました!

Fail2Ban v0.8.13

Copyright (c) 2004-2008 Cyril Jaquier, 2008- Fail2Ban Contributors
Copyright of modifications held by their respective authors.
Licensed under the GNU General Public License v2 (GPL).

Written by Cyril Jaquier <[email protected]>.
Many contributions by Yaroslav O. Halchenko <[email protected]>.

Fail2Ban 0.8.13では、recidiveフィルターを/etc/fail2ban/jail.localに追加でき、すべてが期待どおりに機能します。

注:これはすべて機能しているように見えますが、これは自己回答の質問なので、Ubuntu14.10パッケージをUbuntu12.04.5にインストールするこの種のセットアップが発生するのを待っている問題であると信じている、または疑って​​いる人がいる場合は、私に知らせてください。 Fail2BanはすべてPythonベースであり、現在は期待どおりに機能しているように見えるため、このパッケージは問題が発生しないほど軽量であると思われます。しかし、私の仮定が間違っているかどうか教えてください。

1
JakeGould

同様の問題がありました。リポジトリバージョンFail2banv0.8.11でUbu14.04.0564ビットを使用しています。

メインのFail2banWebサイトに「非常に安定」と記載されているv0.8.14が必要でした。

新しいバージョンをダウンロードし、そのsetup.pyを実行してv0.8.11を上書きするだけでよいことがわかりました。 削除する必要はありません(アンインストール)v0.8.11があり、他の依存関係をインストールする必要もありません。ただし、以下で説明する1つの落とし穴があります。

とにかくここに私の解決策があります:

まだインストールしていない場合は、リポジトリからFail2banをインストールします

apt-get update && apt-get upgrade -y
apt-get install build-essential -y
apt-get install fail2ban

Fail2banのバージョンを確認して、停止します

fail2ban-client --version
fail2ban-client stop

Github、untarからv0.8.14をダウンロードします

wget https://github.com/fail2ban/fail2ban/archive/0.8.14.tar.gz
tar -xzf 0.8.14.*

重要、これをスキップしないでください:現在のfail2ban.confとjail.confを/ etc/fail2banから安全な場所にコピーします。必要に応じて新しいフォルダを作成します。 jail.localについて心配する必要はありません。

cp /etc/fail2ban/fail2ban.conf SOME_OTHER_FOLDER
cp /etc/fail2ban/jail.conf SOME_OTHER_FOLDER

V0.8.14のsetup.pyを実行します

cd fail2ban-0.8.14
python setup.py install

以前にコピーした2つの.confファイルを/ etc/fail2banに戻し、v0.8.14セットアップで作成されたファイルを上書きします。

mv SOME_OTHER_FOLDER/fail2ban.conf /etc/fail2ban 
mv SOME_OTHER_FOLDER/jail.conf /etc/fail2ban 

Fail2banを開始し、バージョンを確認します

fail2ban-client start
fail2ban-client --version

Fail2banの「削除」を行わなかったため、initまたはstartupスクリプトをいじる必要はありません。 Fail2banは再起動時に起動します。

v0.8.14 setup.pyが無効な.confファイルを生成し、Fail2banが実行されない可能性があるため、.confファイルのバックアップは重要です。(「Havenot foundany」で終了する可能性があります。ログファイル」エラー)

0
Lemming