Рост логов security_log и messages

Question

Есть проблема в росте логов. Хочется понять причину и решение. mikopbx развернут в облаке яндекса согласно инструкции. Провайдер Манго. Растёт лог  /storage/usbdisk1/mikopbx/log/asterisk/messages    Приведу пример текста лога:

[2022-07-22 12:15:29] NOTICE[6323] res_pjsip/pjsip_distributor.c: Request 'REGISTER' from '<sip:87@51.Х.Х.Х>' failed for '91.240.243.23:63774' (callid: e5f4a733195316e4f7a) - No matching endpoint found

[2022-07-22 12:15:29] NOTICE[6323] res_pjsip/pjsip_distributor.c: Request 'REGISTER' from '<sip:87@51.Х.Х.Х>' failed for '91.240.243.23:63774' (callid: e5f4a733195316e4f7a) - Failed to authenticate

Понимаю записи так : Адрес 51.Х.Х.Х (иксы поставил я) -  это мой внешний IP MikoPBX яндекс. 91.240.243.23:63774 - это ip и порт с которого меня атакуют.

Второй лог /storage/usbdisk1/mikopbx/log/asterisk/security_log Приведу пример текста лога:

[2022-07-22 12:15:54] SECURITY[6457] res_security_log.c: SecurityEvent="InvalidAccountID",EventTV="2022-07-22T12:15:54.764+0300",Severity="Error",Service="PJSIP",EventVersion="1",AccountID="1076",SessionID="1690015554-1973263540-23543958",LocalAddress="IPV4/UDP/10.128.0.7/5060",RemoteAddress="IPV4/UDP/72.167.48.73/58887"

[2022-07-22 12:15:54] SECURITY[6457] res_security_log.c: SecurityEvent="ChallengeResponseFailed",EventTV="2022-07-22T12:15:54.764+0300",Severity="Error",Service="PJSIP",EventVersion="1",AccountID="<unknown>",SessionID="1690015554-1973263540-23543958",LocalAddress="IPV4/UDP/10.128.0.7/5060",RemoteAddress="IPV4/UDP/72.167.48.73/58887",Challenge="1658481354/98f4d7477ca255de4da1b3c7fbdef6bc",Response="4baf7ef5e93729f1595b656983775222",ExpectedResponse=""

В котором 10.128.0.7 это адрес Мико во внутренней сети Облака Яндекса, а 72.167.48.73 это опять же адрес с которого меня атакуют.

Отсюда следующие вопросы:

1. Как настроить Мико дабы меня не атаковали?

2. Почему Fail2ban Мико не содержит ни одного заблокированного адреса, хотя он запущен?

3. Как в автоматическом режиме резать логи дабы не съедалось всё отпущенное пространство?

Заранее спасибо!

Answer 1

Есть вот такая статья: позволит отсечь самые распространенные подборщики паролей. 

В разделе "Сетевой экран" убедитесь, что для всех подсетей снят флаг «Никогда не блокировать адреса из этой сети» 

Часто видел, что этот флаг установлен для подсети 0.0.0.0 / 0

Убедитесь ,что fail2ban действительно запущен, через ssh выполните команду:

fail2ban-client status

Ротация логов происходит автоматически раз в 1-2 минуты. Ничего дополнительно настраивать не нужно. Если поток попыток подбора слишком большой, то лог наполняется быстрее, чем происходит ротация

Убедитесь, что используете актуальную версию АТС. 

Comments

Спасибо, действительно помогло