Журнал Fail2ban заполнен записями, в которых говорится: "fail2ban.filter: WARNING Определенный IP-адрес с помощью DNS Lookup:.."
Мой журнал fail2ban на /var/log/fail2ban.log
полностью заполнен записями, гласящими:
fail2ban.filter : WARNING Determined IP using DNS Lookup: [IP address]
Я думаю, что это могло начаться после того, как я изменил свой SSH-порт...
Есть идеи, в чем причина и как это остановить?
3 ответа
Была такая же проблема.
Простое решение: добавьте следующую строку вверху вашего /etc/fail2ban/jail.conf
файл, в [DEFAULT]
раздел
usedns = no
Чтобы понять, почему ваш файл журнала заполняется предупреждениями, обратитесь к следующей странице в Fail2Ban wiki. Это в основном не позволяет людям манипулировать записями PTR своих IP-адресов атак, чтобы вводить ложные значения в ваши журналы.
Проверьте запись PTR [IP-адрес] и сравните разрешенное имя с исходным IP-адресом, т.е.
drill -x ip_address or dig -x ip_address or host ip_address
Затем сравните результат с:
drill result or dig result or host result
Это должно быть то же самое. Если это не так - злоумышленник изменил PTR. Вы можете изменить usedns
директива "нет" или "предупредить" в jail.conf
,
В моем случае предупреждение было:
WARNING Determined IP using DNS Lookup: localhost = ['127.0.0.1', '127.0.0.1', '::1']
Это появлялось каждые 10 секунд. Параметрusedns=no
Это был не вариант, так как я хотел выяснить причину — ведь где-то в моих журналах появился этот «localhost». Перепробовав кучу логов, я пошел по пути «грубой силы»:
find /var/log -type f -name '*.log' | xargs grep localhost -l
который дал мне все файлы журналов, содержащие этот «localhost» (их было всего два, один из них —fail2ban.log
сам).
Оказалось, что это был «mysql/error.log». Я удалил базу данных, не останавливая службу (боже мой...), что привело к (каждые 10 секунд):
2021-01-20T05:31:17.784116Z 2680 [Note] Access denied for user 'myserviceaccount'@'localhost' (using password: YES)
.
В конце концов - не нужно останавливать предупреждения (просто остановите службу ;-) ).