Fail2ban: Integração Fail2ban e abuseipdb

Criado em 7 fev. 2019  ·  7Comentários  ·  Fonte: fail2ban/fail2ban

Ambiente:

  • Versão Fail2Ban (incluindo quaisquer sufixos de distribuição possíveis):
  • SO, incluindo nome / versão de lançamento: Debian 9 (extensão), Python 2.7.13,
  • [x] Fail2Ban instalado via sistema operacional / mecanismos de distribuição: Fail2Ban v0.9.6
  • [] Você não aplicou nenhum patch estrangeiro adicional à base de código
  • [] Algumas personalizações foram feitas na configuração (forneça os detalhes abaixo)

O problema:

Ok, então eu tenho um problema com o Fail2ban e a integração do abuseipdb
então, a princípio, ele não estava enviando relatórios para abuseipdb.

Comecei a ler os documentos e encontrei este
https://www.abuseipdb.com/fail2ban.html

actionban = curl --fail --ciphers ecdhe_ecdsa_aes_256_sha --data 'key=<abuseipdb_apikey>' --data-urlencode 'comment=<matches>' --data 'ip=<ip>' --data 'category=<abuseipdb_category>' "https://www.abuseipdb.com/report/json"

Agora, quando eu executo isso através do prompt de comando, recebo o seguinte
erro.

curl --fail --ciphers ecdhe_ecdsa_aes_256_sha --data 'key=<abuseipdb_apikey>' --data-urlencode 'comment=<matches>' --data 'ip=<ip>' --data 'category=<abuseipdb_category>' "https://www.abuseipdb.com/report/json"

Que é o que a ação deve fazer quando vai para o upload de um relatório

Agora, quando eu executo esse comando no meu prompt, recebo o seguinte erro

root<strong i="26">@server1</strong>:/etc/fail2ban# curl --fail --ciphers ecdhe_ecdsa_aes_256_sha --data 'key=<abuseipdb_apikey>' --data-urlencode 'comment=<matches>' --data 'ip=<ip>' --data 'category=<abuseipdb_category>' "https://www.abuseipdb.com/report/json"
curl: (59) failed setting cipher list: ecdhe_ecdsa_aes_256_sha

Então está dizendo que não pode definir a cifra, não tenho certeza de por que o Debian 9 não pode
parecem usar essa cifra, mas parece haver algum tipo de problema e não pode
definir a cifra ecdhe_ecdsa_aes_256_sha

Este é o Debian 9 (extensão)

uname -a
Linux server1 4.9.0-8-amd64 #1 SMP Debian 4.9.130-2 (2018-10-27) x86_64 GNU/Linux

curl -V
curl 7.52.1 (x86_64-pc-linux-gnu) libcurl/7.52.1 OpenSSL/1.0.2q zlib/1.2.8 libidn2/0.16 libpsl/0.17.0 (+libidn2/0.16) libssh2/1.7.0 nghttp2/1.18.1 librtmp/2.3
Protocols: dict file ftp ftps gopher http https imap imaps ldap ldaps pop3 pop3s rtmp rtsp scp sftp smb smbs smtp smtps telnet tftp
Features: AsynchDNS IDN IPv6 Largefile GSS-API Kerberos SPNEGO NTLM NTLM_WB SSL libz TLS-SRP HTTP2 UnixSockets HTTPS-proxy PSL

python -V
Python 2.7.13

 fail2ban-client -V
Fail2Ban v0.9.6

Esta é uma nova instalação que acabei de instalar também sobre
3 dias atrás.

Agora comecei a procurar algumas informações sobre esta informação
e eu encontrei alguns.

https://github.com/fail2ban/fail2ban/issues/2044

Agora, quando eu executo o comando que ele recomenda
nesse post funciona!

actionban = curl --tlsv1.1 --data 'key=<abuseipdb_apikey>' --data-urlencode "comment=<matches>" --data 'ip=<ip>' --data 'category=<abuseipdb_category>' "https://www.abuseipdb.com/report/json"

parece que deve ir em /etc/fail2ban/action.d/abuseipdb.conf
Agora, isso está na linha 89 para mim

A linha que está atualmente no abuseipdb.conf é

actionban = lgm=$(printf '%%s\n...' "<matches>"); curl --fail --tlsv1.1 --data "key=<abuseipdb_apikey>" --data-urlencode "comment=$lgm" --data "ip=<ip>" --data "category=<abuseipdb_category>" "https://www.abuseipdb.com/report/json"

Agora, se eu mudar para ficar assim, a parte do curl agora pelo menos funciona

 curl --tlsv1.1 --data 'key=<abuseipdb_apikey>' --data-urlencode "comment=<matches>" --data 'ip=<ip>' --data 'category=<abuseipdb_category>' "https://www.abuseipdb.com/report/json"
 ```
I have not seen any reports uploaded yet to abuseipdb but I believe that there
is some kind of issue with Debian 9 and the curl and the cipher it is using

Now in my abuseipdb.conf it is now 
```ini
actionban = curl --tlsv1.1 --data 'key=<abuseipdb_apikey>' --data-urlencode "comment=<matches>" --data 'ip=<ip>' --data 'category=<abuseipdb_category>' "https://www.abuseipdb.com/report/json"

Reiniciei o fail2ban depois de aplicar as alterações.

Alguém pode dar uma olhada nisso, por favor?

Obrigado,

Passos para reproduzir

  1. Estar em uma máquina com o Debian 9 instalado.

Execute o comando

curl --fail --ciphers ecdhe_ecdsa_aes_256_sha --data 'key=<abuseipdb_apikey>' --data-urlencode 'comment=<matches>' --data 'ip=<ip>' --data 'category=<abuseipdb_category>' "https://www.abuseipdb.com/report/json"

Comportamento esperado

Se os relatórios serão carregados corretamente para abuseipdb.com

Comportamento observado

Qualquer informação adicional

Configuração, despejo e outros trechos úteis

Não acredito que seja um problema de configuração que eu possa carregar
meu jail.local, mas esse não é o problema aqui. parece ser
aquela linha ondulada que é o meu problema.

3rd party issue closed-as-duplicate implemented-in-newer-version
Fonte
picture thereporter42

Comentários muito úteis

Ninguém foi um idiota com você. Você está sendo agressivo sem motivo.

Sebres - que respondeu ao seu problema - ajuda cada pessoa que posta um problema. Ele é incrivelmente útil.

Ele disse o que você precisava fazer. Você NÃO tem a versão mais recente. Você está em 0.9.x - ele disse para você atualizar para 0.10.x

Ele também disse que não estava 100% certo do que você estava perguntando. Ele disse: se você resolveu usando o comando modificado, pode mesclar o seu.

E, finalmente, parece que o problema não é com fail2ban, mas com o programa de terceiros que você está usando.

Nada disso o torna um "idiota".

Lamento que você ache apropriado responder com grosseria tão agressiva. Sebres é um voluntário e não merece ser insultado como você o insultou.

É bizarro que agora você vá procurar outro programa só porque não gostou da resposta que recebeu. Essa é uma maneira perversa de lidar com a segurança do servidor.

picture evilplan em 9 fev. 2019
👍2

Todos 7 comentários

  1. Este não é um problema de fail2ban
  2. Problemas semelhantes foram corrigidos em # 2101 (para f2b 0.10):
  3. ou você deve atualizar sua versão fail2ban (e possivelmente atualizar o filtro como no PR se for <0.10.3, como em commit fc76ccf19218f7eb14afcbf916fe47c3c9ccaa95)
  4. ou você pode tentar mesclá-lo com sua versão antiga 0.9 (não sei se funcionará lá fora da caixa).
  5. Além disso, não entendo bem o que você quer nos dizer com este bilhete longo (qual é exatamente o seu problema). De qualquer forma, se você alterar os parâmetros curl conforme discutido em # 2044 (resp. No PR resultante, consulte commit fc76ccf19218f7eb14afcbf916fe47c3c9ccaa95), ele deve funcionar bem.

Assim, fechado como duplicado resp. Problema de terceiros (e obsoleto).

sebres picture sebres em 7 fev. 2019

Uau, as pessoas aqui são idiotas. Este problema NÃO foi corrigido. Tenho a versão mais recente do F2B
e o problema não foi resolvido. Que projeto absolutamente horrível quando as pessoas relatam
um problema e os desenvolvedores se recusam a olhar para ele.

Este assunto também não está de forma alguma obsoleto!

Este é um problema com o Fail2Ban também. Dane-se eu vou encontrar outra solução
com outro programa como o Fail2Ban, uma vez que os desenvolvedores aqui são tão grandes
idiotas.

thereporter42 picture thereporter42 em 9 fev. 2019
👎2

Ninguém foi um idiota com você. Você está sendo agressivo sem motivo.

Sebres - que respondeu ao seu problema - ajuda cada pessoa que posta um problema. Ele é incrivelmente útil.

Ele disse o que você precisava fazer. Você NÃO tem a versão mais recente. Você está em 0.9.x - ele disse para você atualizar para 0.10.x

Ele também disse que não estava 100% certo do que você estava perguntando. Ele disse: se você resolveu usando o comando modificado, pode mesclar o seu.

E, finalmente, parece que o problema não é com fail2ban, mas com o programa de terceiros que você está usando.

Nada disso o torna um "idiota".

Lamento que você ache apropriado responder com grosseria tão agressiva. Sebres é um voluntário e não merece ser insultado como você o insultou.

É bizarro que agora você vá procurar outro programa só porque não gostou da resposta que recebeu. Essa é uma maneira perversa de lidar com a segurança do servidor.

evilplan picture evilplan em 9 fev. 2019
👍2

@ thereporter42
Você relatou um problema com a v0.9.6 ...
Neiter é a última versão. (São 0.10.4 e 0.11).
Nem isso é um problema do fail2ban self (além disso, configuração resp. Ação para algo não desenvolvido aqui).
Além disso, você encontrou um lugar errado para relatar um problema (este é o repositório do desenvolvedor, então basicamente não é o lugar onde você está obtendo seu fail2ban e suas configurações).
E por último, mas não menos importante, este assunto já foi discutido várias vezes e não tenho tempo nem intenção de repetir essas explicações aqui e novamente.

E agora cale a boca e coloque suas reclamações em outro lugar, a menos que você não entenda os princípios básicos de como os adultos participam da conversa.

Pessoas como você destruindo o mundo do código aberto, porque ninguém ainda tem desejo de participar dos projetos ... Muito menos a contribuição é para nada e perda de tempo.

sebres picture sebres em 9 fev. 2019

Não existe NENHUM programa de terceiros ... tudo isso é executado por Fail2Ban
tudo o que existe é um arquivo conf no seu diretório action.d, mas NÃO é um terceiro
programa. Estou executando a versão mais recente também no debian 9.

E diga-me "E agora cale a boca e coloque suas reclamações em outro lugar"
Apenas mostra o quão grande é você.

ah e para que conste, eu já tirei a versão MAIS RECENTE do conf
arquivo direto da área do hub git e era isso que eu estava usando

https://github.com/fail2ban/fail2ban/blob/0.11/config/action.d/abuseipdb.conf

Claramente este NÃO é um programa de terceiros e estou trabalhando com
o arquivo conf existente que já está aqui! Tudo o que eu era
falar estava tudo naquele arquivo que você apoia
e tenha em seu próprio repositório.

Esse era o arquivo que eu estava falando era o abuseipdb.conf
e isso NÃO é um programa de terceiros e faz parte do Fail2Ban.

Eu também não estou destruindo nada, estou tentando encontrar um problema
com Fail2Ban corrigido. Mas você não tem nenhum interesse em consertar
um problema com o seu programa, então vou encontrar outro programa para
eu acho que é melhor desenvolvido e onde os desenvolvedores
realmente me importo.

thereporter42 picture thereporter42 em 9 fev. 2019
  1. É um problema de terceiros, porque basicamente nem o serviço abuseipdb nem o curl fazem parte do fail2ban.
  2. Fail2ban é apenas uma ferramenta que normalmente é configurada para as necessidades básicas pelo mantenedor de cada distribuição separadamente. Ênfase no básico, portanto, algumas configurações extras, embora possam estar disponíveis no fail2ban fora da caixa, podem esperar algum ajuste, mas mesmo sem a garantia implícita de COMERCIALIZAÇÃO ou ADEQUAÇÃO A UM DETERMINADO FIM.
  3. Nós, como desenvolvedores e contribuidores do fail2ban, não podemos e não iremos testar cada ação ou filtro que o fail2ban já forneceu (ou ainda fornecerá no futuro) com cada distribuição * nux e cada versão
  4. Sim, fechei este problema pelos motivos já descritos acima (mas também porque quero apenas manter uma visão geral sobre problemas com coisas realmente importantes). E se ainda não entendermos como o parâmetro de execução do curl deve ser ajustado, ele poderia gentilmente perguntar: "alguém gostaria de me ajudar com o curl ... no alongamento ... para a versão f2b mais antiga". Isso é.
    Observe também que é realmente um repositório de desenvolvimento aqui, portanto, possivelmente em plataformas e fóruns como serverfault, stackoverflow e superusuário, você pode ter mais chances de obter a resposta.

Também não estou destruindo nada, estou tentando consertar um problema com o Fail2Ban

  1. Mais uma vez, parece que está corrigido na versão mais recente, mas se não estiver e algo ainda não funcionar, forneça uma saída / erros da versão mais recente. Você postou várias saídas de curl que, por alguns motivos, não eram compatíveis com o seu alongamento.
    Portanto, novamente - se algo não funcionar com a versão mais recente, apenas forneça uma saída disso. Somente.
    Não quero ver os resultados de uma versão que já está obsoleta há vários anos.
    E, portanto, não se esqueça de ser amigável e legal com seus desenvolvedores.
  2. Quanto a destruir, o que você acha de quantos desenvolvedores e contribuidores fail2ban teve desde sua existência?
    E de muitos outros projetos de sistema operacional. Onde estão todas as pessoas? Ninguém quer fazer o trabalho de graça e em recompensa conseguir ouvir insultos ou ainda sofrer pessoas como você.
  3. Pessoas que realmente querem contribuir, propõem uma modificação bem pensada, mas não "minha velha ação fail2ban não é compatível com curl".
sebres picture sebres em 9 fev. 2019

BS você está usando curl como parte do seu pacote principal para fail2ban e o problema não é com o curl em si
é um problema com SUA linha usada no arquivo conf que veio direto de SEU
repositório

E NÃO está corrigido na versão mais recente porque como eu disse peguei o arquivo conf
desde a versão mais recente e o problema ainda ocorre.

Tudo que você precisa fazer é corrigir seu arquivo conf para este problema que vem como PARTE
do programa Fail2ban. Este NÃO é um problema de terceiros, seja o que for.

Você deve pelo menos estar disposto a aceitar relatórios sobre arquivos de configuração de ações
que você inclui em seu próprio repo e esse é o caso aqui.

Vocês são apenas um bando de idiotas que não querem fazer nada
sobre um problema relatado para você.

Mais uma vez, o problema aqui não é com o curl, é com o SEU arquivo de configuração, nossa
as pessoas são totalmente inúteis.

O próprio Curl está funcionando bem; é a sua linha de ação no arquivo conf
esse é o problema!

O arquivo conf vem com o pacote e isso NÃO é algo que eu
escrevi para mim mesmo, eu nunca configurei essas ações manualmente, este é um
ação padrão que vem COM fail2ban, novamente NÃO é uma terceira
questão do partido.

Estou executando a versão mais recente também para o Debian que eles têm
em seus pacotes. É claro que deve haver razões pelas quais
eles não estão colocando a versão mais recente em seu pacote
lista, talvez porque tem muitos bugs e pessoas como eu
estão encontrando problemas como este no Debian que o criador deste
programa se recusa a reconhecer.

Novamente, este problema não foi corrigido na versão mais recente porque bem
Peguei o arquivo conf do repo e o problema ainda existe.

Então, novamente, este é um relatório válido que você se recusa a sequer considerar
ou olhe e, em vez disso, feche-o imediatamente.

Meu relatório também não foi simplesmente que minha versão curl não funciona
com fail2ban meu relatório era extremamente detalhado e eu até
deu uma maneira de corrigir o problema. Então, por favor, pare de tentar fazer soar
como eu postei uma declaração simples de uma linha aqui no meu relatório de bug porque
Esse não foi o caso.

Novamente, esse problema não foi resolvido, mas os desenvolvedores parecem se recusar a olhar para ele.
Uau, quero dizer, realmente, este é o seu arquivo de configuração que você fornece em seu repo
e você não vai olhar para um problema com ele? Desenvolvedor muito pobre se você perguntar
mim.

thereporter42 picture thereporter42 em 9 fev. 2019
Esta página foi útil?
0 / 5 - 0 avaliações

Questões relacionadas

eNTi picture eNTi  ·  4Comentários
DazzlerJay picture DazzlerJay  ·  7Comentários
4Syno picture 4Syno  ·  6Comentários
wienfuchs picture wienfuchs  ·  5Comentários
gaia picture gaia  ·  3Comentários