[Löst?] Om sidan och dess forum verkar segt...

Diskussioner rörande www.slackwarelinux.se ställs här.

Moderatorer: Nille, nomicon, Minime

Användarens profilbild
MDKDIO
Kodnisse
Inlägg: 2144
Blev medlem: 21 apr 2005 08:24
ORT: Bollnäs

[Löst?] Om sidan och dess forum verkar segt...

Inlägg av MDKDIO »

Jag noterade att en mängd adresser, mest ifrån, Kina, försöker angripa servern sedan en timme tillbaka.

Jobbar på saken, men servern kan verka seg ett tag framöver...

/J
Slackware 64-bit 15.0 (Desktop x2)
Slackware 64-bit Current (Laptop)
Slackware 64-bit 15.0 (Laptop x2)
Slackware 64-bit 15.0 (XFCE) (Netbook)
Användarens profilbild
MDKDIO
Kodnisse
Inlägg: 2144
Blev medlem: 21 apr 2005 08:24
ORT: Bollnäs

Re: Om sidan och dess forum verkar segt...

Inlägg av MDKDIO »

Det lugnade ner sig under natten, nu på morgonen så var det "bara" 68 registrerade försök...
i jämförelse med ett par hundra / minut i går kväll (när det var som värst).
Slackware 64-bit 15.0 (Desktop x2)
Slackware 64-bit Current (Laptop)
Slackware 64-bit 15.0 (Laptop x2)
Slackware 64-bit 15.0 (XFCE) (Netbook)
Användarens profilbild
Minime
Labrat
Inlägg: 690
Blev medlem: 14 okt 2005 14:27
ORT: Loos

Re: [Löst?] Om sidan och dess forum verkar segt...

Inlägg av Minime »

Är det som du säger, så verkar ju Fail2Ban fungera som det är tänkt och göra sitt jobb =)

Raspberry Pi 4B 4 Gb RAM Slackware Arm 15.0
Server EeeBox Atom 1.6 GHz 1.5 Gb RAM Slackware 15.0 x64bit
Asus Rog Strix AMD Ryzen 5 3.6 GHz 16 Gb RAM Slackware 15.0 multilib
Miraclebox Premium Twin HD - Openvix 5.2.040 (Neotion CI+ CA-modul)
Användarens profilbild
MDKDIO
Kodnisse
Inlägg: 2144
Blev medlem: 21 apr 2005 08:24
ORT: Bollnäs

Re: [Löst?] Om sidan och dess forum verkar segt...

Inlägg av MDKDIO »

Antagligen, återstår att se om det håller i sig.
Det jag är osäker på, är om skript filer och konfigurations filer skrivs över vid uppgradering av fail2ban.
Iofs mindre troligt, men jag ska kolla vid tillfälle 😀

Ska kanske tillägga att många paket uppdaterades nyligt på servern, och dessa "problem" kom efter dessa uppdateringarna.
Slackware 64-bit 15.0 (Desktop x2)
Slackware 64-bit Current (Laptop)
Slackware 64-bit 15.0 (Laptop x2)
Slackware 64-bit 15.0 (XFCE) (Netbook)
Användarens profilbild
Minime
Labrat
Inlägg: 690
Blev medlem: 14 okt 2005 14:27
ORT: Loos

Re: [Löst?] Om sidan och dess forum verkar segt...

Inlägg av Minime »

Gissar dock att fail2ban's blockeringslita rensas då man bootar om servern.
Vet int exagt hur fail2ban fungerar, men misstänker att den lägger blockering i iptables reglerna...
Dessa blockeringar tror jag inte sparas i någon fil? då man bootar om servern, så försvinner blockerings reglerna och måste läggas in på nytt.

Man kan enkelt kolla detta efter omstart.
med kommandot: iptables -L -n

Fann en intressant guide för att konfigurera fail2ban och hur man får fail2ban att spara informationen.
https://www.digitalocean.com/community/ ... ic-concept

Raspberry Pi 4B 4 Gb RAM Slackware Arm 15.0
Server EeeBox Atom 1.6 GHz 1.5 Gb RAM Slackware 15.0 x64bit
Asus Rog Strix AMD Ryzen 5 3.6 GHz 16 Gb RAM Slackware 15.0 multilib
Miraclebox Premium Twin HD - Openvix 5.2.040 (Neotion CI+ CA-modul)
Användarens profilbild
MDKDIO
Kodnisse
Inlägg: 2144
Blev medlem: 21 apr 2005 08:24
ORT: Bollnäs

Re: [Löst?] Om sidan och dess forum verkar segt...

Inlägg av MDKDIO »

Så kan det ju vara, def något att kolla vid tillfälle.
Tackar för tipset!

Redigerat:
DB för "banned IP's" = 69 Mb, så det ser inte ut som om datan försvinner iaf.
Återstår att se hur fail2an rel till iptables/firewall :)
Slackware 64-bit 15.0 (Desktop x2)
Slackware 64-bit Current (Laptop)
Slackware 64-bit 15.0 (Laptop x2)
Slackware 64-bit 15.0 (XFCE) (Netbook)
Användarens profilbild
Minime
Labrat
Inlägg: 690
Blev medlem: 14 okt 2005 14:27
ORT: Loos

Re: [Löst?] Om sidan och dess forum verkar segt...

Inlägg av Minime »

Fann enu en guide för att få fail2ban att para bannade ip adresser permanent och spara bannade ip adresser.
https://arno0x0x.wordpress.com/2015/12/ ... tent-bans/

Raspberry Pi 4B 4 Gb RAM Slackware Arm 15.0
Server EeeBox Atom 1.6 GHz 1.5 Gb RAM Slackware 15.0 x64bit
Asus Rog Strix AMD Ryzen 5 3.6 GHz 16 Gb RAM Slackware 15.0 multilib
Miraclebox Premium Twin HD - Openvix 5.2.040 (Neotion CI+ CA-modul)
Användarens profilbild
MDKDIO
Kodnisse
Inlägg: 2144
Blev medlem: 21 apr 2005 08:24
ORT: Bollnäs

Re: [Löst?] Om sidan och dess forum verkar segt...

Inlägg av MDKDIO »

Lite gammal info, fail2ban har redan funktionen för permanent lagring via sqlite3
Noterar dock att data i DB rensas efter 24 timmar. Ange annan tid för detta? Visst, men hur stor DB vill man ha?

Ändrat till 48 timmar för test, vill se hur stor DB filen ev blir (noterar dock att omladdning/uppdatering av fail2ban klienten tar tid...

Redigerat: Efter att ha väntat 35 minuter så gav jag upp, med att vänta på att fail2ban ska läsa in den nya konfigurationen. Startar om tjänsten vid tillfälle...
Slackware 64-bit 15.0 (Desktop x2)
Slackware 64-bit Current (Laptop)
Slackware 64-bit 15.0 (Laptop x2)
Slackware 64-bit 15.0 (XFCE) (Netbook)
Användarens profilbild
MDKDIO
Kodnisse
Inlägg: 2144
Blev medlem: 21 apr 2005 08:24
ORT: Bollnäs

Re: [Löst?] Om sidan och dess forum verkar segt...

Inlägg av MDKDIO »

Läst vidare på annat håll...
Det ser ut som om ddos rel konfiguration numera är integrerat i sshd, alltså tidigare konfigurations filen för ddos är borttagen.

Testar för tillfället på en egen server innan jag testar något mer på den här servern.

Någon med mer erfarenhet av fail2ban? All info välkommen!
Tack på förhand!
Slackware 64-bit 15.0 (Desktop x2)
Slackware 64-bit Current (Laptop)
Slackware 64-bit 15.0 (Laptop x2)
Slackware 64-bit 15.0 (XFCE) (Netbook)
Användarens profilbild
Minime
Labrat
Inlägg: 690
Blev medlem: 14 okt 2005 14:27
ORT: Loos

Re: [Löst?] Om sidan och dess forum verkar segt...

Inlägg av Minime »

Vad gällande ddos, tänkte jag lite på apache och mail...
Om det var något sånt som sänkte mailservern kanske?

Raspberry Pi 4B 4 Gb RAM Slackware Arm 15.0
Server EeeBox Atom 1.6 GHz 1.5 Gb RAM Slackware 15.0 x64bit
Asus Rog Strix AMD Ryzen 5 3.6 GHz 16 Gb RAM Slackware 15.0 multilib
Miraclebox Premium Twin HD - Openvix 5.2.040 (Neotion CI+ CA-modul)
Användarens profilbild
MDKDIO
Kodnisse
Inlägg: 2144
Blev medlem: 21 apr 2005 08:24
ORT: Bollnäs

Re: [Löst?] Om sidan och dess forum verkar segt...

Inlägg av MDKDIO »

Nja, sist servern gick ned p.g.a. överbelastning så var det antivirus tjänsten som stoppade mail tjänsten
(och dumpning av paket gick segt eller gav felmeddelanden, slut på minne etc).
Detta fyllde sedan mailbox för roten, då mail inte kunde skickas till rätt adress (dessa rensade jag i går).

Nu är det väl kanske inte ultimat att informera om allt som sker bakom kulisserna i ett öppet forum, så jag postar väl inte allt jag gör :)

Det finns en mängd med konfig alternativ för fail2ban, dock hänger inte dokumentationen med riktigt, samt att debian kör med lite eget race, så att säga.
Läser vidare...

Redigerat:
Det har iaf minskat med försök, 407 på 6 timmar i jämförelse med hur det såg ut i går kväll...
Slackware 64-bit 15.0 (Desktop x2)
Slackware 64-bit Current (Laptop)
Slackware 64-bit 15.0 (Laptop x2)
Slackware 64-bit 15.0 (XFCE) (Netbook)
Användarens profilbild
Nille
Guru
Inlägg: 1475
Blev medlem: 17 jun 2004 02:41

Re: [Löst?] Om sidan och dess forum verkar segt...

Inlägg av Nille »

Det finns ingen orsak att banna ip permanent och det skulle snarare kunna skapa problem i förlängningen.
Att fail2ban tömmer db efter ett tag är fullt normalt.
Vad är det för tjänster som utsätts?
Ett vanligt fel är att man tillåter root inloggning via ssh istället för att tillåta vanliga användare som sedan får använda sudo lokalt.
Personligen anser jag att inloggning via lösenord bör vara förbjudet och inloggning bör endast tillåtas med en nyckel.
The more linux you go the slacker you get.
Användarens profilbild
MDKDIO
Kodnisse
Inlägg: 2144
Blev medlem: 21 apr 2005 08:24
ORT: Bollnäs

Re: [Löst?] Om sidan och dess forum verkar segt...

Inlägg av MDKDIO »

Banna IP permanent: Försökt med div tidsangivelser tidigare, lugnade ned sig efter att ha satt längre tid för bannad IP. Kan def tänka mig minska denna till kortare tid.

Tittar man på log filerna, så är det inloggningsförsök med alla möjliga användarnamn.

Angående inlogging som root så funkar inte detta, enbart användarnamn etc.

Inloggning med nyckel? Det var det jag försökte med i en annan post, kör det själv på annan server.

Redigerat:
Noterade nu, att allt rel till mail tjänsten stoppats av fail2ban(?) för ett antal timmar sedan...
Ett gäng Japanska IP adresser, och sedan var det stopp i allt rel till mail tjänsten...
Slackware 64-bit 15.0 (Desktop x2)
Slackware 64-bit Current (Laptop)
Slackware 64-bit 15.0 (Laptop x2)
Slackware 64-bit 15.0 (XFCE) (Netbook)
Användarens profilbild
Nille
Guru
Inlägg: 1475
Blev medlem: 17 jun 2004 02:41

Re: [Löst?] Om sidan och dess forum verkar segt...

Inlägg av Nille »

Jag använder endast nycklar för att logga in på servrar då det är betydligt säkrare och väldigt lätt att ställa in.
Det ska inte vara möjligt att logga in med namn och lösen via ssh på en server enligt min åsikt.
The more linux you go the slacker you get.
Användarens profilbild
MDKDIO
Kodnisse
Inlägg: 2144
Blev medlem: 21 apr 2005 08:24
ORT: Bollnäs

Re: [Löst?] Om sidan och dess forum verkar segt...

Inlägg av MDKDIO »

Enig, kör som jag skrev, detta på min egen server. Och inte var det särskilt svårt att fixa heller :)

Pratar just nu med minime på telefon, och han är också enig i detta :)
Slackware 64-bit 15.0 (Desktop x2)
Slackware 64-bit Current (Laptop)
Slackware 64-bit 15.0 (Laptop x2)
Slackware 64-bit 15.0 (XFCE) (Netbook)