Я использую SecAst на своем сервере Звездочки, а также fail2ban. (Установка как опция согласно инструкции по установке SecAst). Я сделал это, чтобы протестировать, если SecAst работает правильно. Я запланировал удалить fail2ban, если SecAst работает правильно.
Список запрещенного IP в списке SecAst является путем дольше, чем список fail2ban - почему? Я не вижу нападений в журнале сообщений Звездочки от этих адресов. SecAst вытягивает эти адреса из ничего? Есть ли какое-либо доказательство, эти адреса делают что-то не так?
Для этого может быть много причин (и я могу вас заверить, что SecAst не вытягивает адреса из воздуха).
Геофенсинг: SecAst может блокировать IP-адреса источников на основании их географического расположения. У вас есть настройка геогензирования в файле secast.conf? Если да, зайдите в telnet-интерфейс SecAst и протестируйте заблокированные IP-адреса на предмет их происхождения в ограниченном географическом регионе.
Эвристические модели: Может ли IP-адрес источника/расширение делать то, чего вы не ожидаете? Если утечка набора действительных учетных данных может быть вызвана тем, что кто-то звонит, используя эти учетные данные, и шаблоны их использования - это то, что обычно видно во время мошенничества.
Fail2Ban пропустил его: Возможно, что SecAst ловит вещи, которые не ловит fail2Ban. Злоумышленники сейчас распространяют "тесты" вашей безопасности/удостоверений в течение нескольких дней, и SecAst может их перехватить.
Так что... это всего лишь некоторые из ответов. Можете ли вы разместить соответствующие части своего secast.logа и сообщения/файла безопасности со звездочкой? (Или, если вас беспокоит раскрытие имен расширений или информации об IP, пожалуйста, отправьте их в поддержку на gend.com)
Суть в том, что fail2ban может обнаружить только подмножество того, что SecAst обнаруживает, поэтому не ждите, что будут обнаружены те же самые IP-адреса. Если вы опубликуете свои лог-файлы (или отправите их по электронной почте), я могу сообщить вам причину (причины)
UPDATE:
Вот обратная связь, основанная на отправленных вами файлах:
Я не вижу никаких нарушений геозоны - по крайней мере, не в логах, которые вы послали.
.