Fail2ban

De la ArchWikiRo
Salt la: navigare, căutare

Fail2ban scanează fișierele log /var/log/pwdfail și /var/log/apache/error_log și banează IP-urile care introduc de mai multe ori parola greșita.Totodată,acesta updatează regulile firewall-ului,pentru a bloca IP-urile respective.

Instalare

În primul rând,instalați gamin,pentru ca fail2ban să detecteze modificările în fișierele log;

# pacman -S gamin

Apoi instalați fail2ban:

 # pacman -S fail2ban

Dacă doriți ca fail2ban să trimită un email atunci când cineva este banat,trebuie să configurați SSMTP ,de exemplu.Trebuie instalat pachetul whois pentru a obține informații despre intrus.

 # pacman -S whois

Acum puteți porni daemon-ul fail2ban;

# /etc/rc.d/fail2ban start

după care îl adăugați în /etc/rc.conf:

DAEMONS=(... fail2ban ...)

Protejare SSH

Editați /etc/fail2ban/jail.conf și modificați secțiunea ssh-iptables. Dacă firewall-ul e iptables:

[ssh-iptables]
enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]                                         
           sendmail-whois[name=SSH, dest=your@mail.org, sender=fail2ban@mail.com]
logpath  = /var/log/auth.log                                                                    
maxretry = 5

Dacă firewall-ul e shorewall:

[ssh-shorewall]
enabled  = true
filter   = sshd
action   = shorewall
           sendmail-whois[name=SSH, dest=your@mail.org, sender=fail2ban@mail.com]
logpath  = /var/log/auth.log                                                                    
maxretry = 5
Notă: Puteți modifica BLACKLISTNEWONLY pe No în /etc/shorewall/shorewall.conf,altfel regula adăugată pentru banarea adreselor IP va afecta doar noile conexiuni.

Nu uitați să adăugați/modificați

LogLevel VERBOSE

în /etc/ssh/sshd_config,altfel parolele eșuate nu vor fi logate corect.

Unelte personale