Comandi utili per fail2ban - SMsoft - informatica e dintorni

Oggi una serie di comandi che possono tornare utili nell’uso di fail2ban.

Vedere lo stato generale di fail2ban:

fail2ban-client status

Aggiungere il blocco per un IP alla chain sshd:

fail2ban-client set sshd banip 30.30.30.3

Verificare lo stato della chain sshd:

fail2ban-client status sshd

Eliminare un IP alla chain sshd:

fail2ban-client set sshd unbanip 30.30.30.3

Aggiungere un IP in whitelist:

fail2ban-client set sshd addignoreip 30.30.30.3

Rimuovere un IP dalla whitelist:

fail2ban-client set sshd delignoreip 30.30.30.3

Vedere gli IP in whitelist:

fail2ban-client get sshd ignoreip

Varie:

Per testare il funzionamento di un filtro, ad esempio il filtro fail2ban creato prima, basta digitare:

fail2ban-regex /var/log/fail2ban.log /etc/fail2ban/filter.d/fail2ban.conf

1	fail2ban-regex /var/log/fail2ban.log /etc/fail2ban/filter.d/fail2ban.conf

Se si vuole testare sia la regexp che l’ignore filter, va ripetuto due volte il nome del file con il filtro, es:

fail2ban-regex /var/log/fail2ban.log /etc/fail2ban/filter.d/fail2ban.conf /etc/fail2ban/filter.d/fail2ban.conf

Per vedere i dettagli delle righe rilevate, bisogna aggiungere il parametro -v, es:

fail2ban-regex -v /var/log/fail2ban.log /etc/fail2ban/filter.d/fail2ban.conf

Per vedere invece l’elenco delle righe trovate si usa –print-all-matched:

fail2ban-regex --print-all-matched /var/log/fail2ban.log /etc/fail2ban/filter.d/fail2ban.conf

Per verificare i filtri attivi:

fail2ban-client status

Per controllare gli IP bloccati da un determintato filtro:

fail2ban-client status fail2ban

Per vedere tutti gli IP bloccati da tutti i filtri non esiste un comando specifico, si può fare in questo modo:

fail2ban-client status | grep "Jail list:" | sed "s/ //g" | awk '{split($2,a,",");for(i in a) system("fail2ban-client status " a[i])}' | grep "Status\|IP list"

Oppure si può controllare il contenuto del database sqlite in /var/lib/fail2ban/fail2ban.sqlite3 ad esempio:

sqlite3 /var/lib/fail2ban/fail2ban.sqlite3 "select distinct ip,jail from bips"

oppure, per avere tutte le informazioni sul blocco):

sqlite3 /var/lib/fail2ban/fail2ban.sqlite3 "select * from bips"

(dato che lo schema del DB è stato modificato tra le varie versioni, la tabella potrebbe chiamarsi in altro modo, si può verificare con:

sqlite3 /var/lib/fail2ban/fail2ban.sqlite3 '.schema'

enjoy!

Ti interessa acquistare un dominio a prezzi ultraconvenienti? clicca qui

Se hai trovato utili le informazioni su questo blog,
Fai una donazione!
Clicca sul bottone qui sotto o almeno clicca sul banner pubblicitario 🙂

Varie:

Commenta