在升级完openssh后几天排查一些其他的问题时，注意到了系统日志多了一些ssh登录失败日志，因为安装了fail2ban不应该突然多了那么多，一检查才发现fail2ban对于sshd日志过滤不生效；

其实对于centos7来说，本次CVE-2024-6387对yum安装的版本不受影响，为啥我要升级？那当然是之前的一个CVE，具体是哪个忘记了，对于没有固定IP不能使用白名单的个人用户而言，还是得升级的；

要注意：Centos7升级到最新版本的openssh，必须升级openssl，需要确定业务是否受影响，如果受影响，还是稳健的使用白名单功能吧。

排查思路

1.怀疑fail2ban进程异常退出

对于fail2ban工作不正常，第一反应就是fail2ban进程挂掉了，那么看一下进程systemctl status fail2ban；

● fail2ban.service - Fail2Ban Service   Loaded: loaded (/usr/lib/systemd/system/fail2ban.service; disabled; vendor preset: disabled)   Active: active (running) since Mon 2024-07-08 15:14:04 CST; 5h 6min ago     Docs: man:fail2ban(1) Main PID: 30230 (fail2ban-server)    Tasks: 9   Memory: 13.2M   CGroup: /system.slice/fail2ban.service           └─30230 /usr/bin/python3 /usr/local/bin/fail2ban-server -xf startJul 08 15:14:04 cnvito.top systemd[1]: Stopped Fail2Ban Service.Jul 08 15:14:04 cnvito.top systemd[1]: Starting Fail2Ban Service...Jul 08 15:14:05 cnvito.top systemd[1]: Started Fail2Ban Service.Jul 08 15:14:05 cnvito.top fail2ban-server[30230]: Server ready

进程似乎没问题，那么重启服务看看？重启问题依旧。

接着修改/etc/fail2ban/fail2ban.conf的日志等级为DEBUG再看看，重启生效

程序能够正常运行，也没有什么报错，那么尝试一下更新规则吧；既然都要更新规则了，顺便把fail2ban也升级为最新好了，用Python写的工具，更新也不会有什么其他太大的影响。

2.升级最新fail2ban版本

• 到fail2ban-github上下载最新版本；releases -> source code 一气呵成；

• 把原来的版本卸载systemctl stop fail2ban && yum remove fail2ban*；

• 在服务器上解压后安装python3 setup.py install；注意默认centos7只有python2.7，最新版(1.1.0)有python>3.5的要求；

• 安装完成尝试启动systemctl start fail2ban && systemctl status fail2ban，哦豁报错ModuleNotFoundError: No module named 'fail2ban'，一眼顶针，systemd识别的python3 PYTHONPATH有问题，加个环境变量试一下；

# /usr/lib/systemd/system/fail2ban.service[Service]Environment="PYTHONPATH=/usr/local/lib/python3.6/site-packages"  # <-- 加的这个

重新启动systemctl daemon-reload && systemctl restart fail2ban，OK启动没问题，但是问题依旧。

3.深入排查，问题解决

fail2ban实际上是读取日志，依赖正则表达式一通分析，得到是否被暴力破解的结论；那么问题应该还是出现在规则上，翻一下sshd的规则/etc/fail2ban/filter.d/sshd.conf；

我靠，这一大坨正则表达式看着就头大，好在官方有工具帮忙分析fail2ban-regex，不然一个个替换去试，人都要麻了；fail2ban-regex --help看一下怎么使

fail2ban-regex -v /var/log/secure sshd........Failregex: 0 total  # 注意到这一行,啥也没匹配到,为什么呢?........

• /var/log/secure 是日志路径
• sshd 是内置sshd匹配规则
• Failregex: 0 total 意味着没有登录失败的内容

刚好注意到有openssh升级前的轮询切割日志保存/var/log/secure-20240616；用同样的命令一对比发现同样的规则，旧日志有匹配到被爆破的内容，那么这里已经确定了openssh捣的鬼，再后来翻一下openssh的版本日志，确实9.8p1确实是修改了日志的字段；

对比一下/var/log/secure-20240616和/var/log/secure的区别，一眼看过去根本没区别，而且不能通过diff命令对比，毕竟是完全不同的文件内容，到这里就很头大了；

再翻一下github，也没有看到相关的issue；看看config/filter.d/sshd.conf，嗯？5 days ago，难道release包不是最新的？下载下来md5sum，diff一番，果然不一样，就变了一行；坑爹啊！

[DEFAULT]_daemon = sshd(?:-session)?

测试

# _daemon = sshdfail2ban-regex 'Jul  7 04:14:46 cnvito sshd-session[8982]: Invalid user admin from 171.244.37.97 port 58998' sshdFailregex: 0 total6) [0] ^[iI](?:llegal|nvalid) user <F-USER>.*?</F-USER> (?:from )?<HOST>(?: (?:port \d+|on \S+|\[preauth\])){0,3}\s*$# _daemon = sshd(?:-session)?Failregex: 0 total6) [1] ^[iI](?:llegal|nvalid) user <F-USER>.*?</F-USER> (?:from )?<HOST>(?: (?:port \d+|on \S+|\[preauth\])){0,3}\s*$|      171.244.37.97  Sun Jul 07 04:14:46 2024  ####### <- 注意看这里有匹配到ip了

OK，测试没问题了，修改一下对应的位置后重启fail2ban即可，systemctl restart fail2ban；

原来在openssh9.8p1里面管理Session的进程变成了sshd-session，日志也跟着修改了，看一下进程就大概明白了；

ps -ef | grep [s]shdroot      1120     1  0 Jul04 ?        00:00:17 sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startupsroot     20499  1120  0 20:11 ?        00:00:00 sshd-session: root [priv]root     20501 20499  0 20:11 ?        00:00:00 sshd-session: root@pts/0

给我们分配tty的进程是sshd-session

grafana-loki

如果你跟我一样把登录日志收集到Loki，用Grafana id=17514(SSH LOGS)这个模板展示数据，那么你会发现这里也获取不到数据了，其实原理也是一样的；

编辑JSON模型批量替换就可以了，具体就是|=\"sshd[\"

改成这样|~`sshd(?:-session)?\\[`

前言

whois信息在当下不同以前，以前可以获取到域名所有者的一些联系信息，后面为了保护个人隐私，我们能查到的whois信息已经相当有限，当然如果能拖运营商的库就令当别论了；

那么我为啥还要获取域名的whois信息呢？很简单，为了域名到期监控，如果我有一个非常值钱的域名，我又忘记续费被人抢注了，那岂不非常可惜；

当然使用whois获取到期信息也不一定是准确的，因为有些运营商可能会在域名到期后更新到期时间（即时没有续费），用这种手段防止别人抢注，比如阿里收购的新网；

获取whois

我们这里不是使用第三方的api，而是直接找INAN机构问我们在哪个二级分销商买的域名，我们可以从二级分销商拿到whois，所以我们分两部走；

1. 获取注册的whois机构
2. 获取whois信息

这里使用linux中的nc命令简单获取，当然其实使用telnet客户端也是可以的；

#!/bin/bashutc2local(){    local utc_date=$1    unix_timestamp="$(date -u -d "${utc_date}" '+%s')"    date -d "@${unix_timestamp}" "+%F %T"}check_domain="cnvito.top"refer="$(nc -w 15 whois.iana.org 43 <<<"${check_domain}" | awk '/refer/{print $2}')"if [ -z "${refer}" ]; then    echo "failed to get whois refer"    exit 1fidata="$(nc -w 15 ${refer} 43 <<<"${check_domain}")"created_at="$(awk '/Creation Date/{print $3}' <<<"${data}")"expired_at="$(awk '/Registry Expiry Date/{print $4}' <<<"${data}")"printf '{"domain": "%s", "created_at": "%s",  "expired_at": "%s"}\n' \    "${check_domain}" \    "$(utc2local ${created_at})" \    "$(utc2local ${expired_at})"

得到结果：

{  "domain": "cnvito.top",  "created_at": "2018-07-15 16:14:16",  "expired_at": "2024-07-15 16:14:16"}

使用RDAP的方式

43号端口的获取方式可能会被弃用，更推荐使用rdap

#!/bin/bashdomain="$1"domain="$(sed 's/\.$//' <<<"${domain}")"top_domain="${domain##*.}"# 1.去iana拿到顶级域名服务商dns_service="$(curl -sf https://data.iana.org/rdap/dns.json)"  # ipv4.json ipv6.json asn.jsonif [[ "$?" -ne 0 ]]; then    exit 1fi# com  https://rdap.verisign.com/com/v1/refers="$(jq -rc 'first(.services[] | select(any(.[0][]; . == $td )) | .[1][])' --arg td ${top_domain} <<<"${dns_service}")"for el in ${refers}; do    req_url="${el}domain/${domain}"    curl -sf "${el}domain/${domain}" -H 'Accept: application/json,application/rdap+json' | \      jq -rc '.events[] | select(.eventAction | test("(registration|expiration)")) | .eventAction + "|" + .eventDate'    if [[ "${PIPESTATUS[@]}" = "0 0" ]]; then        break    fidone

有时候我们会有一些需求，需要批量检查自己的域名证书的到期时间，用于提前告警续费，使用python可以轻松的完成这个任务;
这里有用到第三方库pip install -U cryptography，没有考虑站点重定向等情况，低版本python或cryptography需要改一些内容。

import socketimport sslfrom concurrent.futures import ThreadPoolExecutor, as_completedfrom typing import Sequencefrom zoneinfo import ZoneInfofrom cryptography import x509context = ssl.create_default_context(ssl.Purpose.SERVER_AUTH)context.load_default_certs()context.check_hostname = Truecontext.verify_mode = ssl.CERT_REQUIREDdef get_certificate(domain, port=443, timeout=5) -> dict:    """https://docs.python.org/3/library/ssl.html"""    with socket.create_connection((domain, port), timeout=timeout) as _sock:        with context.wrap_socket(_sock, server_hostname=domain) as sslsock:            # cert = ssl.DER_cert_to_PEM_cert(sslsock.getpeercert(True))  # 证书加载为pem格式            cert_bytes = sslsock.getpeercert(True)            if cert_bytes is None:                return {}            certificate = x509.load_der_x509_certificate(cert_bytes)            expired = certificate.not_valid_after_utc.astimezone(ZoneInfo("Asia/Shanghai"))            created = certificate.not_valid_before_utc.astimezone(ZoneInfo("Asia/Shanghai"))            return {                "domain": domain,                "version": certificate.version.name,                "algorithm": certificate.signature_hash_algorithm.name,                "subject": certificate.subject.rfc4514_string(),                "issuer": certificate.issuer.rfc4514_string(),                "expired_at": expired.strftime("%F %T"),                "created_at": created.strftime("%F %T"),            }def multi_get_certificate(domains: Sequence[str]) -> list[dict]:    result = []    with ThreadPoolExecutor(max_workers=3) as pool:        tasks = {pool.submit(get_certificate, domain): domain for domain in domains}        for task in as_completed(tasks):            domain = tasks[task]            try:                result.append(task.result(timeout=10))  # 10s强行断开            except Exception as exc:                print(f"{domain=}: failed to get certificate: {exc}")    return resultif __name__ == "__main__":    domains = ("baidu.com", "jd.com", "qq.com", "aliyun.com")    print(multi_get_certificate(domains))

如果要检查的是本地证书只需要读取证书，传入x509.load_pem_x509_certificate方法即可。

脚本运行

输出以下内容

[{"domain": "qq.com", "version": "v3", "algorithm": "sha256", "subject": "CN=qq.com,O=Shenzhen Tencent Computer Systems Company Limited,L=Shenzhen,ST=Guangdong Province,C=CN", "issuer": "CN=DigiCert Secure Site CN CA G3,O=DigiCert Inc,C=US", "expired_at": "2024-06-10 07:59:59", "created_at": "2023-05-10 08:00:00"}, {"domain": "jd.com", "version": "v3", "algorithm": "sha256", "subject": "CN=*.jd.com,O=BEIJING JINGDONG SHANGKE INFORMATION TECHNOLOGY CO.\\, LTD.,L=Beijing,ST=Beijing,C=CN", "issuer": "CN=GlobalSign RSA OV SSL CA 2018,O=GlobalSign nv-sa,C=BE", "expired_at": "2024-12-09 09:34:41", "created_at": "2023-11-08 09:34:42"}, {"domain": "baidu.com", "version": "v3", "algorithm": "sha256", "subject": "CN=www.baidu.cn,O=BeiJing Baidu Netcom Science Technology Co.\\, Ltd,ST=\u5317\u4eac\u5e02,C=CN", "issuer": "CN=DigiCert Secure Site Pro CN CA G3,O=DigiCert Inc,C=US", "expired_at": "2025-03-02 07:59:59", "created_at": "2024-01-30 08:00:00"}, {"domain": "aliyun.com", "version": "v3", "algorithm": "sha256", "subject": "CN=*.aliyun.com,O=Alibaba (China) Technology Co.\\, Ltd.,L=HangZhou,ST=ZheJiang,C=CN", "issuer": "CN=GlobalSign Organization Validation CA - SHA256 - G3,O=GlobalSign nv-sa,C=BE", "expired_at": "2024-12-30 16:21:02", "created_at": "2023-12-07 15:21:04"}]