Beleza..!<br><br><div class="gmail_quote">2012/12/5 Udson Assis <span dir="ltr">&lt;<a href="mailto:contato@maisvoipshop.com.br" target="_blank">contato@maisvoipshop.com.br</a>&gt;</span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Jony e Roger, <br><br>Juntando as dicas do Jony com as do Roger, Resolvido o problema:<br><br>A solução:<br>Substituir syslog, por rsyslog<br> e <br>nas configurações do fail2ban em jail.conf eu não estava colocando a porta do ssh que estou utilizando, estava deixando padrao.<br>


<br>Depois de fazer estas duas alterações tudo ok, funcionando redondo.<br><br>Obrigado a todos!<div class="HOEnZb"><div class="h5"><br><br><br><div class="gmail_quote">2012/12/5 Jony do Vale <span dir="ltr">&lt;<a href="mailto:jonydovale.jh@gmail.com" target="_blank">jonydovale.jh@gmail.com</a>&gt;</span><br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>Udson, estou testando o sshd.conf. Acho que está &#39;desatualizado&#39;. Estou verificando a forma que está disposta o regex.</div>


<div><br></div><div>Mas para adiantar, faz uma alteração no jail.conf</div><div><br></div>
<div>Defina a porta que está vc está usando para SSH no servidor no parametro &quot;port&quot;. No meu caso 5669.</div><div><br></div><div><div><span style="color:rgb(34,34,34);font-size:13.333333969116211px;font-family:arial,sans-serif">[</span><span style="background-color:rgb(255,255,204);color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13.333333969116211px">ssh</span><span style="color:rgb(34,34,34);font-size:13.333333969116211px;font-family:arial,sans-serif">-iptables]</span><br style="color:rgb(34,34,34);font-size:13.333333969116211px;font-family:arial,sans-serif">



<br style="color:rgb(34,34,34);font-size:13.333333969116211px;font-family:arial,sans-serif"><span style="color:rgb(34,34,34);font-size:13.333333969116211px;font-family:arial,sans-serif">enabled  = true</span><br style="color:rgb(34,34,34);font-size:13.333333969116211px;font-family:arial,sans-serif">



<span style="color:rgb(34,34,34);font-size:13.333333969116211px;font-family:arial,sans-serif">filter   = sshd</span><br style="color:rgb(34,34,34);font-size:13.333333969116211px;font-family:arial,sans-serif">
</div><span style="color:rgb(34,34,34);font-size:13.333333969116211px;font-family:arial,sans-serif">action   = iptables[name=</span><span style="background-color:rgb(255,255,204);color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13.333333969116211px">SSH</span><span style="color:rgb(34,34,34);font-size:13.333333969116211px;font-family:arial,sans-serif">, port=5669</span><span style="color:rgb(34,34,34);font-size:13.333333969116211px;font-family:arial,sans-serif">, protocol=tcp]</span><div>


<br style="color:rgb(34,34,34);font-size:13.333333969116211px;font-family:arial,sans-serif">
<span style="color:rgb(34,34,34);font-size:13.333333969116211px;font-family:arial,sans-serif">           sendmail-whois[name=</span><span style="background-color:rgb(255,255,204);color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13.333333969116211px">SSH</span><span style="color:rgb(34,34,34);font-size:13.333333969116211px;font-family:arial,sans-serif">, dest=root, sender=</span><a href="mailto:fail2ban@example.com" style="color:rgb(17,85,204);font-size:13.333333969116211px;font-family:arial,sans-serif" target="_blank">fail2ban@example.com</a><span style="color:rgb(34,34,34);font-size:13.333333969116211px;font-family:arial,sans-serif">]</span><br style="color:rgb(34,34,34);font-size:13.333333969116211px;font-family:arial,sans-serif">



<span style="color:rgb(34,34,34);font-size:13.333333969116211px;font-family:arial,sans-serif">logpath  = /var/log/secure</span><br style="color:rgb(34,34,34);font-size:13.333333969116211px;font-family:arial,sans-serif">
<span style="color:rgb(34,34,34);font-size:13.333333969116211px;font-family:arial,sans-serif">maxretry = 5</span></div></div><div><br></div><div><br></div><div>Após isso reinicie o fail2ban.</div><div>
<div><br></div><div><br></div><br clear="all"><b>Jony do Vale</b><br><div><a href="tel:%2B55%2085%2097489412" value="+558597489412" target="_blank">+55 85 97489412</a> </div><div><a href="mailto:GTalk%3Ajonydovale.jh@gmail.com" target="_blank">GTalk:jonydovale.jh@gmail.com</a></div>


<div>MSN: <a href="mailto:jonydovale@hotmail.com" target="_blank">jonydovale@hotmail.com</a></div>
<br>
<br><br></div><div><div><div class="gmail_quote">On 4 December 2012 16:41, Udson Assis <span dir="ltr">&lt;<a href="mailto:contato@maisvoipshop.com.br" target="_blank">contato@maisvoipshop.com.br</a>&gt;</span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Jony, <br><br>Segue iformações abaixo: <br><br>Obs: substitui o syslog pelo rsyslog, apos substitiur, quando faços as 6 tentativas com erro o iptables diz ter bloqueado, conforma abaixo, mais na real nao bloqueou, consigo logar normalmente.<br>




<br>[root@server-asterisk /]# iptables -L<br>Chain INPUT (policy ACCEPT)<br>target     prot opt source               destination<br>fail2ban-SSH  tcp  --  anywhere             anywhere            tcp dpt:ssh<br>fail2ban-ASTERISK  all  --  anywhere             anywhere<br>




<br>Chain FORWARD (policy ACCEPT)<br>target     prot opt source               destination<br><br>Chain OUTPUT (policy ACCEPT)<br>target     prot opt source               destination<br><br>Chain fail2ban-ASTERISK (1 references)<br>




target     prot opt source               destination<br>RETURN     all  --  anywhere             anywhere<br><br>Chain fail2ban-SSH (1 references)<br>target     prot opt source               destination<br>DROP       all  --  <a href="http://189-107-139-80.user.veloxzone.com.br" target="_blank">189-107-139-80.user.veloxzone.com.br</a>  anywhere<br>




RETURN     all  --  anywhere             anywhere<br><br><br>sshd.conf<br><br>##----------------------------------------------------------------<br><br># Fail2Ban configuration file<br>#<br># Author: Cyril Jaquier<br>#<br>




# $Revision: 728 $<br>#<br><br>[INCLUDES]<br><br># Read common prefixes. If any customizations available -- read them from<br># common.local<br>before = common.conf<br><br><br>[Definition]<br><br>_daemon = sshd<br><br># Option:  failregex<br>




# Notes.:  regex to match the password failures messages in the logfile. The<br>#          host must be matched by a group named &quot;host&quot;. The tag &quot;&lt;HOST&gt;&quot; can<br>#          be used for standard IP/hostname matching and is only an alias for<br>




#          (?:::f{4,6}:)?(?P&lt;host&gt;[\w\-.^_]+)<br># Values:  TEXT<br>#<br>failregex = ^%(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from &lt;HOST&gt;\s*$<br>            ^%(__prefix_line)s(?:error: PAM: )?User not known to the underlying authentication module for .* from &lt;HOST&gt;\s*$<br>




            ^%(__prefix_line)sFailed (?:password|publickey) for .* from &lt;HOST&gt;(?: port \d*)?(?: ssh\d*)?$<br>            ^%(__prefix_line)sROOT LOGIN REFUSED.* FROM &lt;HOST&gt;\s*$<br>            ^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from &lt;HOST&gt;\s*$<br>




            ^%(__prefix_line)sUser \S+ from &lt;HOST&gt; not allowed because not listed in AllowUsers$<br>            ^%(__prefix_line)sauthentication failure; logname=\S* uid=\S* euid=\S* tty=\S* ruser=\S* rhost=&lt;HOST&gt;(?:\s+user=.*)?\s*$<br>




            ^%(__prefix_line)srefused connect from \S+ \(&lt;HOST&gt;\)\s*$<br>            ^%(__prefix_line)sAddress &lt;HOST&gt; .* POSSIBLE BREAK-IN ATTEMPT!*\s*$<br>            ^%(__prefix_line)sUser \S+ from &lt;HOST&gt; not allowed because none of user&#39;s groups are listed in AllowGroups$<br>




<br># Option:  ignoreregex<br># Notes.:  regex to ignore. If this regex matches, the line is ignored.<br># Values:  TEXT<br>#<br>ignoreregex =<br><br><br>jail.conf<br><br>###-----------------------<br><br><br>[ssh-iptables]<br>




<br>enabled  = true<br>filter   = sshd<br>action   = iptables[name=SSH, port=ssh, protocol=tcp]<br>           sendmail-whois[name=SSH, dest=root, sender=<a href="mailto:fail2ban@example.com" target="_blank">fail2ban@example.com</a>]<br>



logpath  = /var/log/secure<br>
maxretry = 5<br><br><br><br><br><br><br><br><br><div class="gmail_quote">Em 4 de dezembro de 2012 17:27, Jony do Vale <span dir="ltr">&lt;<a href="mailto:jonydovale.jh@gmail.com" target="_blank">jonydovale.jh@gmail.com</a>&gt;</span> escreveu:<div>



<div><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Udson, <div><br></div><div>Desculpa pedir as informações aos poucos, mas por favor enviar </div><div><br></div><div>- /etc/fail2ban/filter.d/ssh.conf</div>




<div><br></div><div>- /etc/fail2ban/jail.conf</div><div><br></div><div>
- saida da CLI durante a tentativa de invasâo</div><div><div><br clear="all"><b>Jony do Vale</b><br><div><a href="tel:%2B55%2085%2097489412" value="+558597489412" target="_blank">+55 85 97489412</a> </div><div>
<a href="mailto:GTalk%3Ajonydovale.jh@gmail.com" target="_blank">GTalk:jonydovale.jh@gmail.com</a></div>
<div>MSN: <a href="mailto:jonydovale@hotmail.com" target="_blank">jonydovale@hotmail.com</a></div><br>
<br><br></div><div class="gmail_quote"><div><div>On 4 December 2012 15:16, Udson Assis <span dir="ltr">&lt;<a href="mailto:contato@maisvoipshop.com.br" target="_blank">contato@maisvoipshop.com.br</a>&gt;</span> wrote:<br>




</div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div>
Roger, <br><br>Fiz o indicado, parei o syslog, mais estou com problemas para startar o rsyslog:<br><br><br>[root@server-asterisk ~]# /etc/init.d/rsyslog start<br>Iniciando o registrador do sistema: usage: rsyslogd [-c&lt;version&gt;] [-46AdnqQvwx] [-l&lt;hostlist&gt;] [-s&lt;domainlist&gt;]<br>






                [-f&lt;conffile&gt;] [-i&lt;pidfile&gt;] [-N&lt;level&gt;] [-M&lt;module load path&gt;]<br>                [-u&lt;number&gt;]<br>To run rsyslogd in native mode, use &quot;rsyslogd -c3 &lt;other options&gt;&quot;<br>






<br>For further information see <a href="http://www.rsyslog.com/doc" target="_blank">http://www.rsyslog.com/doc</a><br>                                                           [FALHOU]<br><br><br><br><br><div class="gmail_quote">





Em 4 de dezembro de 2012 15:53, Roger Pitigliani <span dir="ltr">&lt;<a href="mailto:rogerwinter@gmail.com" target="_blank">rogerwinter@gmail.com</a>&gt;</span> escreveu:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">/etc/init.d/rsyslog start</blockquote></div><div><div><br><br clear="all"><br>-- <br>Udson Assis<br>
Maisvoipshop | BrfoneTelecom<br>
<a href="http://www.maisvoipshop.com.br" target="_blank">www.maisvoipshop.com.br</a> -- <a href="http://www.brfonetelecom.com.br" target="_blank">www.brfonetelecom.com.br</a><br>E-mail: <a href="mailto:contato@maisvoipshop.com.br" target="_blank">contato@maisvoipshop.com.br</a><br>






<span style="color:rgb(51,204,0)">Skype</span>: atendimentomaisvoipshop<br><span style="color:rgb(51,204,0)">Msn</span>: <a href="mailto:contato@maisvoipshop.com.br" target="_blank">contato@maisvoipshop.com.br</a><br><span style="color:rgb(51,204,0)"><span>Gtalk</span></span>: <a href="mailto:contatomaisvoipshop@gmail.com" target="_blank">contatomaisvoipshop@gmail.com</a><br>






Tel.: <a href="tel:%2831%29%204062-7899" value="+553140627899" target="_blank">(31) 4062-7899</a><br><br>
</div></div><br></div></div><div>_______________________________________________<br>
KHOMP Inovação: External Board Series<br>
Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e FreeSWITCH.<br>
Tenha a External Series Experience na sua aplicação. Visite <a href="http://www.khomp.com" target="_blank">www.khomp.com</a><br>
_______________________________________________<br>
DIGIVOICE  Fabricante de Placas de Voz e Channel Bank<br>
20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM<br>
Centro Treinamento - Curso de PABX IP -  Asterisk  - Site  <a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a><br>
________<br>
YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado.<br>
email: <a href="mailto:yealink@commlogik.com.br" target="_blank">yealink@commlogik.com.br</a> | <a href="http://www.commlogik.com.br" target="_blank">www.commlogik.com.br</a> | <a href="tel:%2811%29%205503-1011" value="+551155031011" target="_blank">(11) 5503-1011</a><br>






______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></div>




</blockquote></div>
<br></div>
<br>_______________________________________________<br>
KHOMP Inovação: External Board Series<br>
Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e FreeSWITCH.<br>
Tenha a External Series Experience na sua aplicação. Visite <a href="http://www.khomp.com" target="_blank">www.khomp.com</a><br>
_______________________________________________<br>
DIGIVOICE  Fabricante de Placas de Voz e Channel Bank<br>
20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM<br>
Centro Treinamento - Curso de PABX IP -  Asterisk  - Site  <a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a><br>
________<br>
YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado.<br>
email: <a href="mailto:yealink@commlogik.com.br" target="_blank">yealink@commlogik.com.br</a> | <a href="http://www.commlogik.com.br" target="_blank">www.commlogik.com.br</a> | <a href="tel:%2811%29%205503-1011" value="+551155031011" target="_blank">(11) 5503-1011</a><br>





______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote>



</div></div></div><div><div>
<br><br clear="all"><br>-- <br>Udson Assis<br>Maisvoipshop | BrfoneTelecom<br><a href="http://www.maisvoipshop.com.br" target="_blank">www.maisvoipshop.com.br</a> -- <a href="http://www.brfonetelecom.com.br" target="_blank">www.brfonetelecom.com.br</a><br>




E-mail: <a href="mailto:contato@maisvoipshop.com.br" target="_blank">contato@maisvoipshop.com.br</a><br><span style="color:rgb(51,204,0)">Skype</span>: atendimentomaisvoipshop<br><span style="color:rgb(51,204,0)">Msn</span>: <a href="mailto:contato@maisvoipshop.com.br" target="_blank">contato@maisvoipshop.com.br</a><br>




<span style="color:rgb(51,204,0)"><span>Gtalk</span></span>: <a href="mailto:contatomaisvoipshop@gmail.com" target="_blank">contatomaisvoipshop@gmail.com</a><br>Tel.: <a href="tel:%2831%29%204062-7899" value="+553140627899" target="_blank">(31) 4062-7899</a><br>




<br>
</div></div><br>_______________________________________________<br>
KHOMP Inovação: External Board Series<br>
Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e FreeSWITCH.<br>
Tenha a External Series Experience na sua aplicação. Visite <a href="http://www.khomp.com" target="_blank">www.khomp.com</a><br>
_______________________________________________<br>
DIGIVOICE  Fabricante de Placas de Voz e Channel Bank<br>
20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM<br>
Centro Treinamento - Curso de PABX IP -  Asterisk  - Site  <a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a><br>
________<br>
YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado.<br>
email: <a href="mailto:yealink@commlogik.com.br" target="_blank">yealink@commlogik.com.br</a> | <a href="http://www.commlogik.com.br" target="_blank">www.commlogik.com.br</a> | <a href="tel:%2811%29%205503-1011" value="+551155031011" target="_blank">(11) 5503-1011</a><br>




______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote>


</div>
<br>
</div></div><br>_______________________________________________<br>
KHOMP Inovação: External Board Series<br>
Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e FreeSWITCH.<br>
Tenha a External Series Experience na sua aplicação. Visite <a href="http://www.khomp.com" target="_blank">www.khomp.com</a><br>
_______________________________________________<br>
DIGIVOICE  Fabricante de Placas de Voz e Channel Bank<br>
20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM<br>
Centro Treinamento - Curso de PABX IP -  Asterisk  - Site  <a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a><br>
________<br>
YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado.<br>
email: <a href="mailto:yealink@commlogik.com.br" target="_blank">yealink@commlogik.com.br</a> | <a href="http://www.commlogik.com.br" target="_blank">www.commlogik.com.br</a> | <a href="tel:%2811%29%205503-1011" value="+551155031011" target="_blank">(11) 5503-1011</a><br>



______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote>

</div>
<br><br clear="all"><br>-- <br>Udson Assis<br>Maisvoipshop | BrfoneTelecom<br><a href="http://www.maisvoipshop.com.br" target="_blank">www.maisvoipshop.com.br</a> -- <a href="http://www.brfonetelecom.com.br" target="_blank">www.brfonetelecom.com.br</a><br>


E-mail: <a href="mailto:contato@maisvoipshop.com.br" target="_blank">contato@maisvoipshop.com.br</a><br><span style="color:rgb(51,204,0)">Skype</span>: atendimentomaisvoipshop<br><span style="color:rgb(51,204,0)">Msn</span>: <a href="mailto:contato@maisvoipshop.com.br" target="_blank">contato@maisvoipshop.com.br</a><br>


<span style="color:rgb(51,204,0)"><span>Gtalk</span></span>: <a href="mailto:contatomaisvoipshop@gmail.com" target="_blank">contatomaisvoipshop@gmail.com</a><br>Tel.: <a href="tel:%2831%29%204062-7899" value="+553140627899" target="_blank">(31) 4062-7899</a><br>


<br>
</div></div><br>_______________________________________________<br>
KHOMP Inovação: External Board Series<br>
Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e FreeSWITCH.<br>
Tenha a External Series Experience na sua aplicação. Visite <a href="http://www.khomp.com" target="_blank">www.khomp.com</a><br>
_______________________________________________<br>
DIGIVOICE  Fabricante de Placas de Voz e Channel Bank<br>
20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM<br>
Centro Treinamento - Curso de PABX IP -  Asterisk  - Site  <a href="http://www.digivoice.com.br" target="_blank">www.digivoice.com.br</a><br>
________<br>
YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do mercado.<br>
email: <a href="mailto:yealink@commlogik.com.br">yealink@commlogik.com.br</a> | <a href="http://www.commlogik.com.br" target="_blank">www.commlogik.com.br</a> | <a href="tel:%2811%29%205503-1011" value="+551155031011">(11) 5503-1011</a><br>

______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote></div>
<br><br clear="all"><br>-- <br>--<br>Roger Pitigliani<br>
<a href="mailto:rogerwinter@gmail.com" target="_blank">rogerwinter@gmail.com</a><br>
Skype: roger.pitigliani<br>
<br>