Senelerce Microsoft sistemleriyle uğraştığımız için linux ile ilgili birşeyler yaptığımda çok zorlanıyorum ve bir çok saldırıya maruz kaldık. Adım adım anlattığınız için teşekkür ederim.

Başarılarınızın devamını dilerim

Yardımcı olursanız. sevinirim.Teşekkürler.

var/log/messages’e yazdırtıktan sonra düzeldi. Şu an sorunsuz bir şekilde çalışıyor.
Yardımlarınız için çok teşekkür ederim. İyi çalışmalar dilerim.

Serkan.

O durumda ssh ile ilgili loglar /var/log/secure dosyasina yazilmiyor, muhtemelen /var/log/messages dosyasina yaziliyordur. conf dosyasindan düzeltirseniz sorunsuz calismasi gerekir.

ne diyor peki ?

[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=mail@adresiniz.com, sender=fail2ban@mail.com]
logpath = /var/log/secure
maxretry = 3

olarak ayarlı ve servisleri stop-start yaptığımda mail olarak da geliyor bana. fakat kesinlikle ban işlemi gerçekleşmiyor.

fail2ban.log’a baktığımda, 2010-09-19 15:23:21,263 fail2ban.jail : INFO Jail ‘ssh-iptables’ started
2010-09-19 15:23:21,266 fail2ban.jail : INFO Jail ‘httpd-iptables’ started
2010-09-19 15:23:21,268 fail2ban.jail : INFO Jail ‘proftpd-iptables’ started görünüyor.

Başka bir server için tekrar kurulum yapmayı deneyeceğim. Bir problem var ama çözemedim.

Rsyslog’un 514. portu dinlemesine gerek yok, cunku loglar localhost’tan gelmekte. 514. port meselesi uzaktasi sistemlerden log alabilmek ile alakali. Bu nedenle o konuda bir problem yok.

Bunun dışında muhtemelen göznünüzden küçük bir şey kaçırıyorsunuz; yazının “Fail2ban’ı SSH servisi için Iptables Kullanmak Üzere Yapılandırmak” bölümünde anlatılanları doğru yaptığınıza emin misiniz ?

Cevabınız için teşekkür ederim. “Fail2Ban ve Syslog Problemi” başlıklı bölümü okudum ve rsyslog.conf dosyasında, $RepeatedMsgReduction off ekli durumda.

Loglara baktığımda şunu gördüm;

[root@cent5lamp1 ~]# tail /var/log/messages
2010-09-19T12:44:39.589389+03:00 cent5lamp1 root: Deneme
2010-09-19T12:45:16.085447+03:00 cent5lamp1 rsyslogd: [origin software="rsyslogd" swVersion="3.22.1" x-pid="21527" x-info="http://www.rsyslog.com"] (re)start
2010-09-19T12:45:16.082738+03:00 cent5lamp1 rsyslogd: WARNING: rsyslogd is running in compatibility mode. Automatically generated config directives may interfer with your rsyslog.conf settings. We suggest upgrading your config and adding -c3 as the first rsyslogd option.
2010-09-19T12:45:16.084657+03:00 cent5lamp1 rsyslogd: Warning: backward compatibility layer added to following directive to rsyslog.conf: ModLoad imudp
2010-09-19T12:45:16.085020+03:00 cent5lamp1 rsyslogd: Warning: backward compatibility layer added to following directive to rsyslog.conf: UDPServerRun (null)
2010-09-19T12:45:16.085084+03:00 cent5lamp1 rsyslogd: Name or service not known
2010-09-19T12:45:16.085091+03:00 cent5lamp1 rsyslogd: UDP message reception disabled due to error logged in last message.
2010-09-19T12:45:16.085096+03:00 cent5lamp1 rsyslogd: Warning: backward compatibility layer added to following directive to rsyslog.conf: ModLoad imuxsock
2010-09-19T12:50:02.043400+03:00 cent5lamp1 sshd[10867]: Received disconnect from ::ffff:82.145.225.7: 11: Disconnect requested by Windows SSH Client.
2010-09-19T12:50:15.748070+03:00 cent5lamp1 sshd[21607]: Accepted password for root from ::ffff:82.145.225.7 port 65129 ssh2

Bir de bu port dinlenmiyor mu acaba boş dönüyor.

[root@cent5lamp1 ~]# netstat -an |grep 514
[root@cent5lamp1 ~]#