+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Fail2ban для Proxmox 3.1, Proxmox Виртуальная Среда

emanuelebruno

Guest

22.09.2013 20:52:00

Если посмотреть на эту ссылку http://pve.proxmox.com/wiki/Fail2ban, кажется, что там нет обновлений для новейшего Proxmox 3.1, поэтому я решил написать следующий гайд (это перевод и адаптация этого руководства http://wiki.csnu.org/index.php?title=Proxmox3#Prot.C3.A9ger_l.27interface_web_avec_fail2ban):

Защита веб-интерфейса с помощью fail2ban

Код:
aptitude install fail2ban

Добавьте следующую строку в конец файла /etc/fail2ban/jail.local:

Код:
[proxmox3]
enabled = true
port = https,http,8006
filter = proxmox3
logpath = /var/log/daemon.log
maxretry = 3
bantime = 3600 # 1 час

Создайте файл /etc/fail2ban/filter.d/proxmox3.conf:

Код:
[Definition]
failregex = pvedaemon\[.*authentication failure; rhost=<HOST> user=.* msg=.*
ignoreregex =

Вы можете проверить свою конфигурацию командой:

Код:
fail2ban-regex /var/log/daemon.log /etc/fail2ban/filter.d/proxmox3.conf

Перезапустите fail2ban:

Код:
/etc/init.d/fail2ban restart

PS: Можете обновить свою вики?

joelserrano Guest	#2 0 17.11.2013 03:02:00 Я как раз тоже это искал! Отличная работа! Спасибо...

FcbInfo Guest	#3 0 18.02.2014 05:31:00 +1, спасибо за это =)

m.ardito Guest	#4 0 18.02.2014 13:32:00 Немного с опозданием, но я только что это сделал: http://pve.proxmox.com/wiki/Fail2ban Всего доброго, Марко

FcbInfo Guest	#5 0 18.02.2014 13:47:00 Привет! Ты забыл скопировать jail.conf в jail.local перед редактированием файла. Для пользователей без опыта работы с fail2ban это непросто понять. Классное обновление вики =)

m.ardito Guest	#6 0 18.02.2014 13:52:00 Как есть, к сожалению Надеюсь, теперь всё в порядке? Марко

FcbInfo Guest	#7 0 18.02.2014 14:03:00 ДА... всё в порядке. Теперь у нас есть обновлённая документация по установке fail2ban на серверы proxmox, и вам не нужно листать кучу постов и страниц =) Спасибо за это, m.ardito!

Ovidiu Guest	#8 0 15.11.2015 17:25:00 Эти инструкции будут совместимы с Proxmox 4 и используемым им файрволом? И нужно ли включать файрвол узла через графический интерфейс или это работает независимо?

Okumba Guest	#9 0 23.02.2016 17:31:00 Я бы тоже хотел спросить, совместим ли Proxmox 4.1 с fail2ban?

cyp Guest	#10 0 23.02.2016 20:25:00 Да, всё отлично работает на моих серверах Proxmox 4.1.

seir

Guest

#11

24.02.2016 22:48:00

Поскольку Debian переходит на systemd, я бы рекомендовал запускать и включать сервис следующим образом:
# systemctl start fail2ban
# systemctl enable fail2ban

И заодно поменять proxmox 3 на proxmox 4 — чисто из принципа придирки.

/etc/fail2ban/jail.local
[proxmox 4]
enabled = true
port = https,http,8006
filter = proxmox 4
logpath = /var/log/daemon.log
maxretry = 3
bantime = 3600

/etc/fail2ban/filter.d/proxmox4.conf
[Definition]
failregex = pvedaemon\[.*authentication failure; rhost=<HOST> user=.* msg=.*
ignoreregex =

nbeam

Guest

#12

06.04.2016 04:57:00

Единственное, что я бы добавил — мне пришлось перезагрузить ноду (не знаю почему), чтобы это начало работать. После перезагрузки всё заработало. Полчаса я чесал затылок, ковыряясь в конфигурационных файлах (регулярное выражение проверял, когда запускал команду для поиска совпадений, и fail2ban.log показывал, что сервис запущен… поэтому я немного расстроился). Заметил, что iptables не показывал заблокированные IP-адреса… Кстати, если хотите увидеть забаненные IP в iptables, вот что отлично работает: iptables -L fail2ban-proxmox или, в зависимости от вашей схемы именования файлов конфигурации fail2ban: iptables -L fail2ban-proxmox3 iptables -L fail2ban-proxmox4 Ещё момент — у меня включены файрволы на всех уровнях: в дата-центре, на ноде и на ВМ/контейнере в Proxmox 4.1. Это РАБОТАЕТ при таком раскладе, просто мне потребовалась перезагрузка, чтобы всё заработало. В любом случае, спасибо за отличный вклад!

wbumiller Guest	#13 0 06.04.2016 09:51:00 Если они в остальном совместимы, зачем вообще указывать номер версии?

nbeam Guest	#14 0 06.04.2016 22:33:00 Именно это я и сделал с моей настройкой.

Okumba Guest	#15 0 24.02.2016 22:42:00 Спасибо, воспользовался статьёй из вики и проверил — всё отлично работает.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры