imported>Vix |
imported>Vix |
Строка 1: |
Строка 1: |
| '''ail2ban''' — это инструмент, который отслеживает в log-файлах попытки обратится к
| |
| сервисам, таким, как SSH, FTP, SMTP, HTTP и другим, и если находит постоянно
| |
| повторяющиеся неудачные попытки авторизации с одного и того же IP-адреса или
| |
| хоста, fail2ban блокирует дальнейшие попытки с этого IP-адреса/хоста, с помощью
| |
| правила iptables(ipfw) или host.deny.
| |
| $ apt-get install fail2ban
| |
| По умолчанию мы уже получаем намного более защищенный ssh. После 3х попыток
| |
| неправильного ввода пароля с одного ip адреса — он отправляется в бан. Тут же
| |
| есть уже готовые примеры для ssh, exim, postfix, cyrus-imap, apache, lighttpd,
| |
| named. Рассмотрим более детально некоторые параметры.
| |
| Основная часть настроек fail2ban хранится в конфигурационном файле
| |
| /etc/fail2ban/jail.conf
| |
| $ nano /etc/fail2ban/jail.conf
| |
|
| |
|
| В разделе [DEFAULT] содержатся настройки блокировки по-умолчанию:
| |
|
| |
| # ignoreip - IP-адрес, который не будет блокироваться в любом случае. Здесь
| |
| можно указать IP-адрес, CIDR-маску или же имя DNS-хоста;
| |
| ignoreip = 127.0.0.1 195.168.100.27 216.127.158.23
| |
| # bantime - время в секундах, на которое будет блокироваться доступ, -1 — что
| |
| значит «навечно»;
| |
| bantime = 600
| |
| # maxretry - количество неудачных попыток авторизации, после которых хост будет
| |
| заблокирован на bantime секунд;
| |
| maxretry = 3
| |
| # destemail - email-адрес, на который будут отсылаться уведомления о
| |
| блокировании хостов.
| |
| destemail = root@localhost
| |
| # mta через что отправлять письма о банах, пишем тут тот MTA, который стоит у
| |
| вас на сервере Exim/sendmail/etc;
| |
| mta = sendmail
| |
|
| |
| .. ...
| |
| # рассмотрим одну секцию
| |
| [ssh]
| |
| # включаем сервис
| |
| enabled = true
| |
| port = ssh
| |
| filter = sshd
| |
| # какой лог парсить, на тот случай, если вы изменяли дефолтный путь
| |
| logpath = /var/log/auth.log
| |
| # количество попыток, после которых банят.
| |
| maxretry = 4
| |
| ....
| |
|
| |
| Не забываем перезапускать fail2ban после изменения конфигурации командой:
| |
| $ /etc/init.d/fail2ban restart
| |
|
| |
| * [http://www.linuxjournal.su/?p=1998 взято тут...]
| |