¿Verifica que se esté ejecutando fail2ban?

11

Acabo de instalar y configurar fail2ban. Quiero asegurarme de que esté funcionando. No quiero bloquearme del servidor, así que no puedo iniciar sesión (mal) un montón de veces. ¿Cómo veo que fail2ban está funcionando?

networking security process bernie2436
fuente
1
intente estosudo fail2ban-client status
NineCattoRules
Debería considerar seleccionar una respuesta correcta.
Jacob

Respuestas:

6

Sólo tipo:

/etc/init.d/fail2ban start

y luego para conocer el estado del tipo fail2ban:

/etc/init.d/fail2ban status

como sabemos todos los servicios están disponibles en /etc/init.d/.

abdus
fuente
1
Esto muestra si el servicio se está ejecutando . No muestra si hace lo que se supone que debe hacer.
Jenny D
1
Es cierto que este comando solo muestra que el servicio se está ejecutando. Pero, esto también es útil. El título dice "¿Comprobar que se está ejecutando fail2ban?". En lugar de rechazar esta respuesta, tal vez sugiera que OP cambie el título de la pregunta.
Charlie
systemctl status fail2banparece producir la misma información, para aquellos de nosotros que tenemos la costumbre de usar systemctl.
usuario3.1415927
2

Para una primera verificación rápida, observe si fail2ban ha agregado algunas reglas de iptable:

sudo iptables -L f2b-sshd

Esto es lo que obtuve como resultado:

target     prot opt source               destination
REJECT     all  --  mgt.pnu.ac.th        anywhere             reject-with icmp-port-unreachable
REJECT     all  --  plex1.domin8.media   anywhere             reject-with icmp-port-unreachable
REJECT     all  --  218.92.0.197         anywhere             reject-with icmp-port-unreachable
REJECT     all  --  223.68.10.247        anywhere             reject-with icmp-port-unreachable
REJECT     all  --  promote.cache-dns.local  anywhere             reject-with icmp-port-unreachable
RETURN     all  --  anywhere             anywhere

Parece que mi servidor atrae algo de interés. ;)

andreas
fuente
1

Simplemente ponga el puerto 22 a disposición de Internet (por supuesto, después de endurecer la clave pública) y verá que se llenan los registros.

Ahora, recomendaría usar un proxy / túnel para probar esto, solo reenvíe la conexión ssh a través de este proxy y no logre iniciar sesión un par de veces. Debería ser suficiente.

¡No hagas esto desde tu propio sistema!

Puede estar encerrado afuera con las llaves dentro del automóvil.

Braiam
fuente
1
sí, una vez que su puerto ssh estándar esté disponible públicamente, los bots tocarán. Deje que se ejecute unas horas y compruebe el archivo de registro fail2ban, estoy bastante seguro de que tendrá direcciones (principalmente chinas) en ese momento.
Jake
0

Pídale a un amigo que intente iniciar sesión, o use un teléfono inteligente, o vaya a un punto de acceso público e intente desde allí, o lea el internet de sus vecinos, o simplemente espere hasta que algún scriptkiddo intente iniciar sesión.

Hay muchas formas, pero todas implican "solo hazlo" ...

Wouter Verhelst
fuente