Proteção utilizando fail2ban contra ataques do tipo
O fail2ban pode monitorar a tentativa de login nos serviços ssh, pam, xinetd, apache, vsftpd, proftpd, wuftpd, postfix, couriersmtp, courierauth, sasl e named, e em uma ação pró-ativa bloquear o possível ataque, adicionando uma regra no firewall.
[ Hits: 78.083 ]
Por: Ricardo Brito do Nascimento em 30/08/2011 | Blog: http://brito.blog.incolume.com.br
Exemplos e Referências
Exemplos para fail2ban
Exemplo de monitoração ao PAM e xinetd:[pam-generic]
enabled = false
# pam-generic filter can be customized to monitor specific subset of 'tty's
filter = pam-generic
# port actually must be irrelevant but lets leave it all for some possible uses
port = all
banaction = iptables-allports
port = anyport
logpath = /var/log/auth.log
maxretry = 6
[xinetd-fail]
enabled = false
filter = xinetd-fail
port = all
banaction = iptables-multiport-log
logpath = /var/log/daemon.log
maxretry = 2
...
Exemplo de monitoração ao apache:
#
# HTTP servers
#
[apache]
enabled = false
port = http,https
filter = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 6
# default action is now multiport, so apache-multiport jail was left
# for compatibility with previous (<0.7.6-2) releases
[apache-multiport]
enabled = false
port = http,https
filter = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 6
[apache-noscript]
enabled = false
port = http,https
filter = apache-noscript
logpath = /var/log/apache*/*error.log
maxretry = 6
[apache-overflows]
enabled = false
port = http,https
filter = apache-overflows
logpath = /var/log/apache*/*error.log
maxretry = 2
...
Exemplo de monitoração ao FTP:
#
# FTP servers
#
[vsftpd]
enabled = false
port = ftp,ftp-data,ftps,ftps-data
filter = vsftpd
logpath = /var/log/vsftpd.log
# or overwrite it in jails.local to be
# logpath = /var/log/auth.log
# if you want to rely on PAM failed login attempts
# vsftpd's failregex should match both of those formats
maxretry = 6
[proftpd]
enabled = false
port = ftp,ftp-data,ftps,ftps-data
filter = proftpd
logpath = /var/log/proftpd/proftpd.log
maxretry = 6
[wuftpd]
enabled = false
port = ftp,ftp-data,ftps,ftps-data
filter = wuftpd
logpath = /var/log/auth.log
maxretry = 6
...
Exemplo de monitoração ao DNS:
# DNS Servers
# These jails block attacks against named (bind9). By default, logging is off
# with bind9 installation. You will need something like this:
#
# logging {
# channel security_file {
# file "/var/log/named/security.log" versions 3 size 30m;
# severity dynamic;
# print-time yes;
# };
# category security {
# security_file;
# };
# };
#
# in your named.conf to provide proper logging
# Word of Caution:
# Given filter can lead to DoS attack against your DNS server
# since there is no way to assure that UDP packets come from the
# real source IP
[named-refused-udp]
enabled = false
port = domain,953
protocol = udp
filter = named-refused
logpath = /var/log/named/security.log
[named-refused-tcp]
enabled = false
port = domain,953
protocol = tcp
filter = named-refused
logpath = /var/log/named/security.log
...
Referências
- http://sourceforge.net/projects/fail2ban/files/fail2ban-stable/fail2ban-0.8.4
- http://fedoraproject.org/wiki/EPEL
- https://fedoraproject.org/keys
- http://en.wikipedia.org/wiki/CIDR_notation
- http://compnetworking.about.com/od/workingwithipaddresses/a/cidr_notation.htm
- http://www.petri.co.il/whats_cidr.htm
2. Configuração para fail2ban
3. Exemplos e Referências
Clonagem de Hardware Hotline em Software Livre
Instalação Plone 2.5.5 com módulos customizados
Gerenciando certificados A1 fornecidos pelo ICB-Brasil no navegador Chrome sobre Linux
Conexão com chaves assimétricas sem uso de senha em servidor sshd
Encapsulamento de Apache com chroot
ProFTPD + ClamAV - FTP livre de vírus
Certificações em Segurança: para qual estudar?
Instalando e configurando o SpamAssassin
Integração de servidores Linux com Active Directory
Olá Ricardo!
Sensacional o artigo, estou iniciando um trabalho com essa ferramenta, e tenho uma dúvida... na opção "enable = false", esta estaria ativando a monitoração desejada ou estaria stopando-a?
Fiquei em dúvida, porque estou usando o arquivo jail.* como a extensão .local, teria algo a ver ou viajei muito?!
Abraços!
Boa tarde, Ótimo artigo, gostaria de saber onde visualizo a blacklist q o fail2ban cria...
muito bom o artigo, tenho uma pergunta, consigo bloquear ao invés do IP o MAC ??
Patrocínio
Destaques
Artigos
Cirurgia para acelerar o openSUSE em HD externo via USB
Void Server como Domain Control
Modo Simples de Baixar e Usar o bash-completion
Monitorando o Preço do Bitcoin ou sua Cripto Favorita em Tempo Real com um Widget Flutuante
Dicas
Como impedir exclusão de arquivos por outros usuários no (Linux)
Cirurgia no Linux Mint em HD Externo via USB
Anúncio do meu script de Pós-Instalação do Ubuntu
Tópicos
Duas Pasta Pessoal Aparecendo no Ubuntu 24.04.3 LTS (6)
Alguém executou um rm e quase mata a Pixar! (3)
Formas seguras de instalar Debian Sid (1)
Alguém pode me indicar um designer freelancer? [RESOLVIDO] (4)
Por que passar nas disciplinas da faculdade é ruim e ser reprovado é b... (6)
Top 10 do mês
-
Xerxes
1° lugar - 150.106 pts -
Fábio Berbert de Paula
2° lugar - 69.136 pts -
Mauricio Ferrari
3° lugar - 21.894 pts -
Buckminster
4° lugar - 20.625 pts -
Alberto Federman Neto.
5° lugar - 19.680 pts -
edps
6° lugar - 19.376 pts -
Daniel Lara Souza
7° lugar - 19.199 pts -
Andre (pinduvoz)
8° lugar - 17.628 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 16.334 pts -
Diego Mendes Rodrigues
10° lugar - 14.312 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
