<div>Udson, estou testando o sshd.conf. Acho que está 'desatualizado'. Estou verificando a forma que está disposta o regex.</div><div><br></div><div>Mas para adiantar, faz uma alteração no jail.conf</div><div><br></div>
<div>Defina a porta que está vc está usando para SSH no servidor no parametro "port". No meu caso 5669.</div><div><br></div><div><span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13.333333969116211px;background-color:rgb(255,255,255)">[</span><span class="il" style="background-color:rgb(255,255,204);color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13.333333969116211px">ssh</span><span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13.333333969116211px;background-color:rgb(255,255,255)">-iptables]</span><br style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13.333333969116211px;background-color:rgb(255,255,255)">
<br style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13.333333969116211px;background-color:rgb(255,255,255)"><span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13.333333969116211px;background-color:rgb(255,255,255)">enabled = true</span><br style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13.333333969116211px;background-color:rgb(255,255,255)">
<span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13.333333969116211px;background-color:rgb(255,255,255)">filter = sshd</span><br style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13.333333969116211px;background-color:rgb(255,255,255)">
<span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13.333333969116211px;background-color:rgb(255,255,255)">action = iptables[name=</span><span class="il" style="background-color:rgb(255,255,204);color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13.333333969116211px">SSH</span><span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13.333333969116211px;background-color:rgb(255,255,255)">, port=5669</span><span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13.333333969116211px;background-color:rgb(255,255,255)">, protocol=tcp]</span><br style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13.333333969116211px;background-color:rgb(255,255,255)">
<span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13.333333969116211px;background-color:rgb(255,255,255)"> sendmail-whois[name=</span><span class="il" style="background-color:rgb(255,255,204);color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13.333333969116211px">SSH</span><span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13.333333969116211px;background-color:rgb(255,255,255)">, dest=root, sender=</span><a href="mailto:fail2ban@example.com" target="_blank" style="color:rgb(17,85,204);font-family:arial,sans-serif;font-size:13.333333969116211px;background-color:rgb(255,255,255)">fail2ban@example.com</a><span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13.333333969116211px;background-color:rgb(255,255,255)">]</span><br style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13.333333969116211px;background-color:rgb(255,255,255)">
<span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13.333333969116211px;background-color:rgb(255,255,255)">logpath = /var/log/secure</span><br style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13.333333969116211px;background-color:rgb(255,255,255)">
<span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13.333333969116211px;background-color:rgb(255,255,255)">maxretry = 5</span></div><div><br></div><div><br></div><div>Após isso reinicie o fail2ban.</div>
<div><br></div><div><br></div><br clear="all"><b>Jony do Vale</b><br><div>+55 85 97489412 </div><div><a href="mailto:GTalk%3Ajonydovale.jh@gmail.com" target="_blank">GTalk:jonydovale.jh@gmail.com</a></div><div>MSN: <a href="mailto:jonydovale@hotmail.com" target="_blank">jonydovale@hotmail.com</a></div>
<br>
<br><br><div class="gmail_quote">On 4 December 2012 16:41, Udson Assis <span dir="ltr"><<a href="mailto:contato@maisvoipshop.com.br" target="_blank">contato@maisvoipshop.com.br</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Jony, <br><br>Segue iformações abaixo: <br><br>Obs: substitui o syslog pelo rsyslog, apos substitiur, quando faços as 6 tentativas com erro o iptables diz ter bloqueado, conforma abaixo, mais na real nao bloqueou, consigo logar normalmente.<br>
<br>[root@server-asterisk /]# iptables -L<br>Chain INPUT (policy ACCEPT)<br>target prot opt source destination<br>fail2ban-SSH tcp -- anywhere anywhere tcp dpt:ssh<br>fail2ban-ASTERISK all -- anywhere anywhere<br>
<br>Chain FORWARD (policy ACCEPT)<br>target prot opt source destination<br><br>Chain OUTPUT (policy ACCEPT)<br>target prot opt source destination<br><br>Chain fail2ban-ASTERISK (1 references)<br>
target prot opt source destination<br>RETURN all -- anywhere anywhere<br><br>Chain fail2ban-SSH (1 references)<br>target prot opt source destination<br>DROP all -- <a href="http://189-107-139-80.user.veloxzone.com.br" target="_blank">189-107-139-80.user.veloxzone.com.br</a> anywhere<br>
RETURN all -- anywhere anywhere<br><br><br>sshd.conf<br><br>##----------------------------------------------------------------<br><br># Fail2Ban configuration file<br>#<br># Author: Cyril Jaquier<br>#<br>
# $Revision: 728 $<br>#<br><br>[INCLUDES]<br><br># Read common prefixes. If any customizations available -- read them from<br># common.local<br>before = common.conf<br><br><br>[Definition]<br><br>_daemon = sshd<br><br># Option: failregex<br>
# Notes.: regex to match the password failures messages in the logfile. The<br># host must be matched by a group named "host". The tag "<HOST>" can<br># be used for standard IP/hostname matching and is only an alias for<br>
# (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)<br># Values: TEXT<br>#<br>failregex = ^%(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$<br> ^%(__prefix_line)s(?:error: PAM: )?User not known to the underlying authentication module for .* from <HOST>\s*$<br>
^%(__prefix_line)sFailed (?:password|publickey) for .* from <HOST>(?: port \d*)?(?: ssh\d*)?$<br> ^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>\s*$<br> ^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from <HOST>\s*$<br>
^%(__prefix_line)sUser \S+ from <HOST> not allowed because not listed in AllowUsers$<br> ^%(__prefix_line)sauthentication failure; logname=\S* uid=\S* euid=\S* tty=\S* ruser=\S* rhost=<HOST>(?:\s+user=.*)?\s*$<br>
^%(__prefix_line)srefused connect from \S+ \(<HOST>\)\s*$<br> ^%(__prefix_line)sAddress <HOST> .* POSSIBLE BREAK-IN ATTEMPT!*\s*$<br> ^%(__prefix_line)sUser \S+ from <HOST> not allowed because none of user's groups are listed in AllowGroups$<br>
<br># Option: ignoreregex<br># Notes.: regex to ignore. If this regex matches, the line is ignored.<br># Values: TEXT<br>#<br>ignoreregex =<br><br><br>jail.conf<br><br>###-----------------------<br><br><br>[ssh-iptables]<br>
<br>enabled = true<br>filter = sshd<br>action = iptables[name=SSH, port=ssh, protocol=tcp]<br> sendmail-whois[name=SSH, dest=root, sender=<a href="mailto:fail2ban@example.com" target="_blank">fail2ban@example.com</a>]<br>
logpath = /var/log/secure<br>
maxretry = 5<br><br><br><br><br><br><br><br><br><div class="gmail_quote">Em 4 de dezembro de 2012 17:27, Jony do Vale <span dir="ltr"><<a href="mailto:jonydovale.jh@gmail.com" target="_blank">jonydovale.jh@gmail.com</a>></span> escreveu:<div>
<div class="h5"><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Udson, <div><br></div><div>Desculpa pedir as informações aos poucos, mas por favor enviar </div><div><br></div><div>- /etc/fail2ban/filter.d/ssh.conf</div>
<div><br></div><div>- /etc/fail2ban/jail.conf</div><div><br></div><div>
- saida da CLI durante a tentativa de invasâo</div><div><div><br clear="all"><b>Jony do Vale</b><br><div><a href="tel:%2B55%2085%2097489412" value="+558597489412" target="_blank">+55 85 97489412</a> </div><div>
<a href="mailto:GTalk%3Ajonydovale.jh@gmail.com" target="_blank">GTalk:jonydovale.jh@gmail.com</a></div>
<div>MSN: <a href="mailto:jonydovale@hotmail.com" target="_blank">jonydovale@hotmail.com</a></div><br>
<br><br></div><div class="gmail_quote"><div><div>On 4 December 2012 15:16, Udson Assis <span dir="ltr"><<a href="mailto:contato@maisvoipshop.com.br" target="_blank">contato@maisvoipshop.com.br</a>></span> wrote:<br>
</div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div>
Roger, <br><br>Fiz o indicado, parei o syslog, mais estou com problemas para startar o rsyslog:<br><br><br>[root@server-asterisk ~]# /etc/init.d/rsyslog start<br>Iniciando o registrador do sistema: usage: rsyslogd [-c<version>] [-46AdnqQvwx] [-l<hostlist>] [-s<domainlist>]<br>
[-f<conffile>] [-i<pidfile>] [-N<level>] [-M<module load path>]<br> [-u<number>]<br>To run rsyslogd in native mode, use "rsyslogd -c3 <other options>"<br>
<br>For further information see <a href="http://www.rsyslog.com/doc" target="_blank">http://www.rsyslog.com/doc</a><br> [FALHOU]<br><br><br><br><br><div class="gmail_quote">
Em 4 de dezembro de 2012 15:53, Roger Pitigliani <span dir="ltr"><<a href="mailto:rogerwinter@gmail.com" target="_blank">rogerwinter@gmail.com</a>></span> escreveu:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">/etc/init.d/rsyslog start</blockquote></div><div><div><br><br clear="all"><br>-- <br>Udson Assis<br>
Maisvoipshop | BrfoneTelecom<br>
<a href="http://www.maisvoipshop.com.br" target="_blank">www.maisvoipshop.com.br</a> -- <a href="http://www.brfonetelecom.com.br" target="_blank">www.brfonetelecom.com.br</a><br>E-mail: <a href="mailto:contato@maisvoipshop.com.br" target="_blank">contato@maisvoipshop.com.br</a><br>
<span style="color:rgb(51,204,0)">Skype</span>: atendimentomaisvoipshop<br><span style="color:rgb(51,204,0)">Msn</span>: <a href="mailto:contato@maisvoipshop.com.br" target="_blank">contato@maisvoipshop.com.br</a><br><span style="color:rgb(51,204,0)"><span>Gtalk</span></span>: <a href="mailto:contatomaisvoipshop@gmail.com" target="_blank">contatomaisvoipshop@gmail.com</a><br>
Tel.: <a href="tel:%2831%29%204062-7899" value="+553140627899" target="_blank">(31) 4062-7899</a><br><br>
</div></div><br></div></div><div>_______________________________________________<br>
KHOMP Inovação: External Board Series<br>
Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e FreeSWITCH.<br>
Tenha a External Series Experience na sua aplicação. Visite <a href="http://www.khomp.com" target="_blank">www.khomp.com</a><br>
_______________________________________________<br>
DIGIVOICE Fabricante de Placas de Voz e Channel Bank<br>
20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM<br>
Centro Treinamento - Curso de PABX IP - Asterisk - Site <a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a><br>
________<br>
YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado.<br>
email: <a href="mailto:yealink@commlogik.com.br" target="_blank">yealink@commlogik.com.br</a> | <a href="http://www.commlogik.com.br" target="_blank">www.commlogik.com.br</a> | <a href="tel:%2811%29%205503-1011" value="+551155031011" target="_blank">(11) 5503-1011</a><br>
______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></div>
</blockquote></div>
<br></div>
<br>_______________________________________________<br>
KHOMP Inovação: External Board Series<br>
Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e FreeSWITCH.<br>
Tenha a External Series Experience na sua aplicação. Visite <a href="http://www.khomp.com" target="_blank">www.khomp.com</a><br>
_______________________________________________<br>
DIGIVOICE Fabricante de Placas de Voz e Channel Bank<br>
20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM<br>
Centro Treinamento - Curso de PABX IP - Asterisk - Site <a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a><br>
________<br>
YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado.<br>
email: <a href="mailto:yealink@commlogik.com.br" target="_blank">yealink@commlogik.com.br</a> | <a href="http://www.commlogik.com.br" target="_blank">www.commlogik.com.br</a> | <a href="tel:%2811%29%205503-1011" value="+551155031011" target="_blank">(11) 5503-1011</a><br>
______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote>
</div></div></div><div class="HOEnZb"><div class="h5">
<br><br clear="all"><br>-- <br>Udson Assis<br>Maisvoipshop | BrfoneTelecom<br><a href="http://www.maisvoipshop.com.br" target="_blank">www.maisvoipshop.com.br</a> -- <a href="http://www.brfonetelecom.com.br" target="_blank">www.brfonetelecom.com.br</a><br>
E-mail: <a href="mailto:contato@maisvoipshop.com.br" target="_blank">contato@maisvoipshop.com.br</a><br><span style="color:rgb(51,204,0)">Skype</span>: atendimentomaisvoipshop<br><span style="color:rgb(51,204,0)">Msn</span>: <a href="mailto:contato@maisvoipshop.com.br" target="_blank">contato@maisvoipshop.com.br</a><br>
<span style="color:rgb(51,204,0)"><span style>Gtalk</span></span>: <a href="mailto:contatomaisvoipshop@gmail.com" target="_blank">contatomaisvoipshop@gmail.com</a><br>Tel.: <a href="tel:%2831%29%204062-7899" value="+553140627899" target="_blank">(31) 4062-7899</a><br>
<br>
</div></div><br>_______________________________________________<br>
KHOMP Inovação: External Board Series<br>
Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e FreeSWITCH.<br>
Tenha a External Series Experience na sua aplicação. Visite <a href="http://www.khomp.com" target="_blank">www.khomp.com</a><br>
_______________________________________________<br>
DIGIVOICE Fabricante de Placas de Voz e Channel Bank<br>
20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM<br>
Centro Treinamento - Curso de PABX IP - Asterisk - Site <a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a><br>
________<br>
YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado.<br>
email: <a href="mailto:yealink@commlogik.com.br">yealink@commlogik.com.br</a> | <a href="http://www.commlogik.com.br" target="_blank">www.commlogik.com.br</a> | <a href="tel:%2811%29%205503-1011" value="+551155031011">(11) 5503-1011</a><br>
______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote></div>
<br>