Любой успешно выполнение fail2ban
на CentOS 7 и может сказать мне, как сделать это?
Я пытался установить fail2ban
с yum install fail2ban
и выполненный это (нет никаких дополнительных правил в iptables -L
который кажется нечетным согласно тому, что я нашел в сети).
Как только я перезагружаю сервер, я не могу войти в систему как корень или другой пользователь через ssh. Порты не видимы при сканировании, и конечно я получаю эту ошибку, когда я пытаюсь соединиться:
ssh: connect to host XXX.XXX.XXX.XXX port 12321: Connection refused
Я изменил ssh порт, но я также попробовал его портом 22 без удачи.
Интересно, знает ли кто-то решения этой проблемы?
Это должна быть проблема с fail2ban
потому что я не устанавливал ничто больше.
ОБНОВЛЕНИЕ я могу зарегистрироваться на пути ssh после перезагрузки. Но никакая страница HTML не подается. Вывод iptables -L
:
Цепочечный ВХОД (политика ПРИНИМАЮТ) предназначается для протестанта, выбирают источник
целевой f2b-sshd tcp - где угодно где угодно многопортовые dports ssh ПРИЗНАЮТ, что все - где угодно где угодно ctstate СВЯЗАННЫЙ, УСТАНОВЛЕННЫЙ ПРИНИМАЮТ все - где угодно
где угодно INPUT_direct все - где угодно
где угодно INPUT_ZONES_SOURCE все - где угодно
где угодно INPUT_ZONES все - где угодно
где угодно ПРИЗНАЙТЕ, что icmp - где угодно где угодно ОТКЛОНЯЮТ все - где угодно где угодно
отклонение - с icmp-host-prohibitedЦепочка ВПЕРЕД (политика ПРИНИМАЮТ) предназначается для протестанта, выбирают источник
место назначения ПРИЗНАЕТ, что все - где угодно где угодно ctstate СВЯЗАННЫЙ, УСТАНОВЛЕННЫЙ ПРИНИМАЮТ все - где угодно
где угодно FORWARD_direct все - где угодно
где угодно FORWARD_IN_ZONES_SOURCE все - где угодно
где угодно FORWARD_IN_ZONES все - где угодно
где угодно FORWARD_OUT_ZONES_SOURCE все - где угодно
где угодно FORWARD_OUT_ZONES все - где угодно
где угодно ПРИЗНАЙТЕ, что icmp - где угодно где угодно ОТКЛОНЯЮТ все - где угодно где угодно
отклонение - с icmp-host-prohibitedЦепочечный ВЫВОД (политика ПРИНИМАЮТ) предназначается для протестанта, выбирают источник
целевой OUTPUT_direct все - где угодно
где угодноЦепочечные FORWARD_IN_ZONES (1 ссылка) предназначаются для протестанта, выбирают источник
целевой FWDI_public все - где угодно
где угодно [goto] FWDI_public все - где угодно
где угодно [goto]Цепочечные FORWARD_IN_ZONES_SOURCE (1 ссылка) предназначаются для протестанта, выбирают исходное место назначения
Цепочечные FORWARD_OUT_ZONES (1 ссылка) предназначаются для протестанта, выбирают источник
целевой FWDO_public все - где угодно
где угодно [goto] FWDO_public все - где угодно
где угодно [goto]Цепочечные FORWARD_OUT_ZONES_SOURCE (1 ссылка) предназначаются для протестанта, выбирают исходное место назначения
Цепочечные FORWARD_direct (1 ссылка) предназначаются для протестанта, выбирают источник
место назначенияЦепочечные FWDI_public (2 ссылки) предназначаются для протестанта, выбирают источник
целевой FWDI_public_log все - где угодно
где угодно FWDI_public_deny все - где угодно
где угодно FWDI_public_allow все - где угодно
где угодноЦепочечные FWDI_public_allow (1 ссылка) предназначаются для протестанта, выбирают источник
место назначенияЦепочечные FWDI_public_deny (1 ссылка) предназначаются для протестанта, выбирают источник
место назначенияЦепочечные FWDI_public_log (1 ссылка) предназначаются для протестанта, выбирают источник
место назначенияЦепочечные FWDO_public (2 ссылки) предназначаются для протестанта, выбирают источник
целевой FWDO_public_log все - где угодно
где угодно FWDO_public_deny все - где угодно
где угодно FWDO_public_allow все - где угодно
где угодноЦепочечные FWDO_public_allow (1 ссылка) предназначаются для протестанта, выбирают источник
место назначенияЦепочечные FWDO_public_deny (1 ссылка) предназначаются для протестанта, выбирают источник
место назначенияЦепочечные FWDO_public_log (1 ссылка) предназначаются для протестанта, выбирают источник
место назначенияЦепочечные INPUT_ZONES (1 ссылка) предназначаются для протестанта, выбирают источник
целевой IN_public все - где угодно где угодно [goto] IN_public все - где угодно где угодно
[goto]Цепочечные INPUT_ZONES_SOURCE (1 ссылка) предназначаются для протестанта, выбирают источник
место назначенияЦепочечные INPUT_direct (1 ссылка) предназначаются для протестанта, выбирают источник
место назначенияЦепочечные IN_public (2 ссылки) предназначаются для протестанта, выбирают источник
целевой IN_public_log все - где угодно
где угодно IN_public_deny все - где угодно
где угодно IN_public_allow все - где угодно
где угодноЦепочечные IN_public_allow (1 ссылка) предназначаются для протестанта, выбирают источник
место назначения ПРИНИМАЕТ tcp - где угодно где угодно tcp dpt:ssh ctstate НОВЫЙЦепочечные IN_public_deny (1 ссылка) предназначаются для протестанта, выбирают источник
место назначенияЦепочечные IN_public_log (1 ссылка) предназначаются для протестанта, выбирают источник
место назначенияЦепочечные OUTPUT_direct (1 ссылка) предназначаются для протестанта, выбирают источник
место назначенияЦепочка f2b-sshd (1 ссылка) предназначается для протестанта, выбирают источник
целевой ВОЗВРАТ все - где угодно где угодно
Я установил ~20 серверов CentOS 7 с fail2ban
и конфигурация по умолчанию очень открыта, так что "соединение отказано" приходит только после 5 неудачных попыток входа.
CentOS 7 теперь использует firewalld
, но по умолчанию установлено правило для ssh(22).
Если вы измените порт ssh в sshd_config
, вы также должны настроить правило firewalld-rule, т.е.:
firewall-cmd --zone=public --add-port=12321/tcp --permanent
Не забудьте запустить firewall-cmd --reload
после изменения конфигурации.
Лучше просто протестировать со свежей переустановкой CentOS, установить fail2ban
, перезагрузиться и я не вижу причин, по которым вы не сможете войти в систему, если она работала раньше (убедитесь, что eth0 работает и у него есть IP-адрес! Я обычно забываю "автосоединиться" во время установки)
Интернет-провайдеры, такие как Amazon, имеют свой собственный межсетевой экран. если у вашего интернет-провайдера есть эта услуга, вам необходимо открыть там свой IP-адрес, чтобы пройти.