El registro de Fail2ban se llenó de entradas que decían "fail2ban.filter: ADVERTENCIA IP determinada utilizando la búsqueda de DNS: .."

12

Mi registro de fail2ban en /var/log/fail2ban.logestá completamente lleno de entradas que dicen:

fail2ban.filter : WARNING Determined IP using DNS Lookup: [IP address]

Creo que esto puede haber comenzado después de cambiar mi puerto ssh ...

¿Alguna idea de cuál es la causa de esto y cómo detenerlo?

linux ubuntu log-files fail2ban ip-blocking Dirk Calloway
fuente

Respuestas:

10

Tuve el mismo problema.

Solución simple: agregue la siguiente línea en la parte superior de su /etc/fail2ban/jail.confarchivo, en la [DEFAULT]sección

usedns = no

Para comprender por qué su archivo de registro se está llenando de advertencias, consulte la siguiente página en el wiki Fail2Ban . Básicamente es para evitar que las personas manipulen el registro PTR de sus IP de ataque para inyectar valores falsos en sus registros.

qux
fuente
1
¿No abrirá esto la posibilidad de ataque si los usuarios hacen intentos de inicio de sesión para los orígenes de nombres de host (ya que los nombres de host simplemente se ignorarán en este caso)? Quizás he leído mal los documentos, pero parece que podría ser una mala idea.
Quinn Commandado
2
Además, la documentación dice: La solución es configurar todos los servicios para que no realicen búsquedas inversas de DNS y, en cambio, solo registren direcciones IP . La advertencia dada por fail2ban ( IP determinada usando la búsqueda de DNS ) indica que algún servicio está registrando nombres de host. La mejor solución es determinar qué servicio es y deshabilitar las búsquedas de DNS. La configuración usedns = nodetiene las advertencias y evitará el bloqueo de redes PTR falsas, pero deja el servicio que registra nombres de host completamente desprotegido por fail2ban.
Quinn Commandado
2

Verifique el registro PTR de la [dirección IP] y compare el nombre resuelto con la dirección IP original, es decir 

drill -x ip_address or dig -x ip_address or host ip_address

Luego compare el resultado con:

drill result or dig result or host result

Debería ser lo mismo. Si no es así, el atacante cambió el PTR. Puede modificar la usednsdirectiva a "no" o "advertir" en jail.conf.

plluksie
fuente