Fail2ban: 사용자 지정 작업 실패 | 잘못된 대체

에 만든 2020년 11월 23일 · 6코멘트 · 출처: fail2ban/fail2ban

환경:

일반 정보:
배포: 우분투 18.04
페일투밴 v0.10.2

Fail2Ban 버전(가능한 모든 배포 접미사 포함):
릴리스 이름/버전을 포함한 OS:
[x] OS/배포 메커니즘을 통해 설치된 Fail2Ban
[ ] 코드베이스에 추가 외부 패치를 적용하지 않았습니다.
[ ] 구성에 일부 사용자 정의가 수행되었습니다(아래에 세부 정보 제공).

문제:

안녕하세요,

나는 지금 WAF를 사용하여 내 owncloud 인스턴스를 보호하고 있습니다.
Sophos UTM에는 2개의 부품이 필요합니다. 먼저 호스트 개체(공격자)를 만들고 두 번째로 역방향 프록시 개체를 업데이트합니다. RESTful API는 내 스크립트에서 작동하지만 내 사용자 지정 작업 파일에 의해 트리거되지는 않습니다. 개체를 만드는 1단계는 잘 작동합니다. <ip> 변수는 여기에서만 필요합니다.

그러나 내 변수 정의 블록으로 인해 두 번째 부분이 충돌합니다.

2020-11-23 16:15:12,158 fail2ban.actions        [28653]: NOTICE  [owncloud] Ban 80.187.101.140
2020-11-23 16:15:12,175 fail2ban.utils          [28653]: Level 39 7f612c005a90 -- exec: UTM2B=80.187.101.140;
UTM=${UTM2B//./};
REF="REF_NetHos";
REF_ID="${UTM:0:10}";
DN="$REF$REF_ID";
curl -X POST --header 'Content-Type: application/json' --header 'Accept: application/json' \
--header 'Authorization: Basic access_token' -d '{"address":"80.187.101.140","address6":"","comment":"","duids":[],"hostnames":[],"interface":"","macs":[],"name":"80.187.101.140","resolved":false,"resolved6":false,"reverse_dns":false}' \
'https://host.domain/api/objects/network/host/' > /dev/null
curl -X PATCH --header 'Content-Type: application/json' \
--header 'Accept: application/json' \
--header 'X-Restd-Err-Ack: all' \
--header 'X-Restd-Lock-Override: yes' \
--header 'Authorization: Basic access_token' -d \
'{"access_control":"1","allowed_networks":["REF_NetworkAny"],"auth_profile":"","backend":["REF_RevBacWEBHost"],"be_path":"","comment":"","denied_networks":["'"$DN"'"],"hot_standby":false,"name":"ProxyN","path":"/subtree","status":true,"stickysession_id":"ROUTEID","stickysession_status":false,"websocket_passthrough":true}' \
'https://my.fw/api/objects/reverse_proxy/location/REF_RevLocProxyN'
2020-11-23 16:15:12,175 fail2ban.utils          [28653]: ERROR   7f612c005a90 -- stderr: '/bin/sh: 2: Bad substitution'
2020-11-23 16:15:12,175 fail2ban.utils          [28653]: ERROR   7f612c005a90 -- returned 2

재현 단계

actionban = UTM2B=<ip>;
            UTM=${UTM2B//./};
            REF="REF_NetHos";
            REF_ID="${UTM:0:10}";
            DN="$REF$REF_ID";
            curl -X POST --header 'Content-Type: application/json' --header 'Accept: application/json' \
            --header 'Authorization: Basic access_token' -d '{"address":"<ip>","address6":"","comment":"","duids":[],"hostnames":[],"interface":"","macs":[],"name":"<ip>","resolved":false,"resolved6":false,"reverse_dns":false}' \
            'https://my.fw/api/objects/network/host/' > /dev/null
            curl -X PATCH --header 'Content-Type: application/json' \
            --header 'Accept: application/json' \
            --header 'X-Restd-Err-Ack: all' \
            --header 'X-Restd-Lock-Override: yes' \
            --header 'Authorization: Basic access_token' -d \
            '{"access_control":"1","allowed_networks":["REF_NetworkAny"],"auth_profile":"","backend":["REF_RevBacWEBHost"],"be_path":"","comment":"","denied_networks":["'"$DN"'"],"hot_standby":false,"name":"ProxyN","path":"/subtree","status":true,"stickysession_id":"ROUTEID","stickysession_status":false,"websocket_passthrough":true}' \
            'https://my.fw/api/objects/reverse_proxy/location/REF_RevLocProxyN' > /dev/null

예상되는 행동

  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100   492  100   307  100   185    291    175  0:00:01  0:00:01 --:--:--   466
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100   841  100   504  100   337   7411   4955 --:--:-- --:--:-- --:--:-- 12367
80.187.101.140
80187101140
REF_NetHos
8018710114
REF_NetHos8018710114

추가 정보

add_host.sh 내부의 actionban
디버깅을 위해 끝에 echo $VAR를 추가하십시오.

저를 도와주시고 이것에 대해 조금이나마 밝혀 주시겠습니까? - 어떻게 변수를 선언해야 합니까? 내가 뭘 잘못하고 있죠?
도움을 주시면 정말 감사하겠습니다.

3rd party issue

출처

4Syno

가장 유용한 댓글

아마도 당신은 이것을 즉시 식별 할 수 있습니다 ...
구성 중 실패: 작업 정의 'UTM9' 오류: '%' 다음에 '%' 또는 ...

물론 오류 메시지(및 문서)에서 알 수 있듯이 (python) 구성 파일의 % char는 %(var)s 등과 같은 변수 및 매개변수의 대체에 사용되는 특수 문자입니다.
따라서 다음과 같이 (추가 %로) 이스케이프 처리합니다.

- VAR=${VAR1%?};
+ VAR=${VAR1%%?};

구성을 읽어서 단일 %-char로 보간됩니다.

sebres 에 2020년 11월 24일

😄1 👍1

모든 6 댓글

RESTful API는 내 스크립트에서 작동하지만 내 사용자 지정 작업 파일에 의해 트리거되지는 않습니다.

스크립트에 bash를 사용했다고 가정합니까? ( ${UTM2B//./} 는 bashism이기 때문에).
sh(시스템에서 fail2ban을 실행하는 사용자의 기본 셸)를 사용하는 fail2ban을 볼 수 있으므로 설계에 따라 작동하지 않습니다.
다음 예를 시도해 보세요.

$ sh -c 'UTM2B=192.0.2.1; UTM=${UTM2B//./};'
sh: 1: Bad substitution

sh 셸에서 지원되지 않는 구성 없이 작업을 다시 작성하거나 bash용 shebang을 사용하여 스크립트에 작성한 다음 작업에서 스크립트를 호출해야 합니다(따라서 스크립트는 sh 대신 bash에서 실행됨).

sebres 에 2020년 11월 23일

👍1

빠른 피드백 감사합니다.
나는 당신의 제안을 따랐습니다. 쉘에 다시 쓰기가 속임수를 썼습니다!
금지된 모든 IP로 변수를 얻을 가능성이 있습니까??

4Syno 에 2020년 11월 23일

금지된 모든 IP로 변수를 얻을 가능성이 있습니까??

가능합니다(그러나 어떤 형식으로)...
그리고 어떤 용도로 좋은 것인지도 궁금합니다.

fail2ban-client get <JAIL> banned 를 사용할 수도 있습니다(최신 버전으로 출시된 54b2208690e3c2fff00fbd9b197984d880e29a02 참조).

sebres 에 2020년 11월 23일

글쎄, 나는 내 구성을 테스트하고 있습니다 :D 전혀 나쁘지 않지만 몇 가지 어리석은 점은 WAF
차단할 호스트 개체만 처리할 수 있으며 호스트 그룹은 처리할 수 없습니다. 따라서 f2b가 새 IP를 감지할 때마다 내 스크립트는 금지 목록에 있는 모든 항목을 보내야 합니다! 그렇지 않은 경우 현재 최신 ip만 차단됩니다. :( 내 고객은 구식이지만 나는 함께 일할 수 있습니다.
fail2ban-client status owncloud |grep Banned

4Syno 에 2020년 11월 23일

완료! 이제 모든 차단된 IP 주소를 알고 있는 프로토콜이 작성됩니다.
다른 사람이 주변에서 놀고 있는 경우 여기에 추가되고 스크립트는 이 모든 것을 사용하여 "컬 패치"를 한 번만 호출하여 프록시에서 access_control 목록을 업데이트합니다. 그래서 아무도 더 이상 내 손가락을 거치지 않습니다. D

ㅋ 아마도 이것을 사용할 수 없었던 이유를 즉시 확인할 수 있습니다.
내 필요에 맞게 값을 형식화하려면 다음을 수행하십시오.
sh 셸에 문제 없음: sh -c 'VAR=${VAR1%?};'
하지만 fail2ban에서: fail2ban-server[4540]: Failed during configuration: Error in action definition 'UTM9': '%' must be followed by '%' or '(', found: '%?};\ncurl -X POST --header \'Content-Type: application

이 절대적으로 뛰어난 소프트웨어에 감사드립니다!

4Syno 에 2020년 11월 24일