Fail2ban — защита от брутфорса ( подбора пароля) в Ubuntu или Debian.: различия между версиями
imported>Vix (Полностью удалено содержимое страницы) |
imported>Vix Нет описания правки |
||
Строка 1: | Строка 1: | ||
'''ail2ban''' — это инструмент, который отслеживает в log-файлах попытки обратится к | |||
сервисам, таким, как SSH, FTP, SMTP, HTTP и другим, и если находит постоянно | |||
повторяющиеся неудачные попытки авторизации с одного и того же IP-адреса или | |||
хоста, fail2ban блокирует дальнейшие попытки с этого IP-адреса/хоста, с помощью | |||
правила iptables(ipfw) или host.deny. | |||
$ apt-get install fail2ban | |||
По умолчанию мы уже получаем намного более защищенный ssh. После 3х попыток | |||
неправильного ввода пароля с одного ip адреса — он отправляется в бан. Тут же | |||
есть уже готовые примеры для ssh, exim, postfix, cyrus-imap, apache, lighttpd, | |||
named. Рассмотрим более детально некоторые параметры. | |||
Основная часть настроек fail2ban хранится в конфигурационном файле | |||
/etc/fail2ban/jail.conf | |||
$ nano /etc/fail2ban/jail.conf | |||
В разделе [DEFAULT] содержатся настройки блокировки по-умолчанию: | |||
# ignoreip - IP-адрес, который не будет блокироваться в любом случае. Здесь | |||
можно указать IP-адрес, CIDR-маску или же имя DNS-хоста; | |||
ignoreip = 127.0.0.1 195.168.100.27 216.127.158.23 | |||
# bantime - время в секундах, на которое будет блокироваться доступ, -1 — что | |||
значит «навечно»; | |||
bantime = 600 | |||
# maxretry - количество неудачных попыток авторизации, после которых хост будет | |||
заблокирован на bantime секунд; | |||
maxretry = 3 | |||
# destemail - email-адрес, на который будут отсылаться уведомления о | |||
блокировании хостов. | |||
destemail = root@localhost | |||
# mta через что отправлять письма о банах, пишем тут тот MTA, который стоит у | |||
вас на сервере Exim/sendmail/etc; | |||
mta = sendmail | |||
.. ... | |||
# рассмотрим одну секцию | |||
[ssh] | |||
# включаем сервис | |||
enabled = true | |||
port = ssh | |||
filter = sshd | |||
# какой лог парсить, на тот случай, если вы изменяли дефолтный путь | |||
logpath = /var/log/auth.log | |||
# количество попыток, после которых банят. | |||
maxretry = 4 | |||
.... | |||
Не забываем перезапускать fail2ban после изменения конфигурации командой: | |||
$ /etc/init.d/fail2ban restart | |||
* [http://www.linuxjournal.su/?p=1998 взято тут...] |
Версия от 23:28, 14 февраля 2014
ail2ban — это инструмент, который отслеживает в log-файлах попытки обратится к сервисам, таким, как SSH, FTP, SMTP, HTTP и другим, и если находит постоянно повторяющиеся неудачные попытки авторизации с одного и того же IP-адреса или хоста, fail2ban блокирует дальнейшие попытки с этого IP-адреса/хоста, с помощью правила iptables(ipfw) или host.deny.
$ apt-get install fail2ban
По умолчанию мы уже получаем намного более защищенный ssh. После 3х попыток неправильного ввода пароля с одного ip адреса — он отправляется в бан. Тут же есть уже готовые примеры для ssh, exim, postfix, cyrus-imap, apache, lighttpd, named. Рассмотрим более детально некоторые параметры. Основная часть настроек fail2ban хранится в конфигурационном файле
/etc/fail2ban/jail.conf $ nano /etc/fail2ban/jail.conf
В разделе [DEFAULT] содержатся настройки блокировки по-умолчанию:
# ignoreip - IP-адрес, который не будет блокироваться в любом случае. Здесь можно указать IP-адрес, CIDR-маску или же имя DNS-хоста; ignoreip = 127.0.0.1 195.168.100.27 216.127.158.23 # bantime - время в секундах, на которое будет блокироваться доступ, -1 — что значит «навечно»; bantime = 600 # maxretry - количество неудачных попыток авторизации, после которых хост будет заблокирован на bantime секунд; maxretry = 3 # destemail - email-адрес, на который будут отсылаться уведомления о блокировании хостов. destemail = root@localhost # mta через что отправлять письма о банах, пишем тут тот MTA, который стоит у вас на сервере Exim/sendmail/etc; mta = sendmail .. ... # рассмотрим одну секцию [ssh] # включаем сервис enabled = true port = ssh filter = sshd # какой лог парсить, на тот случай, если вы изменяли дефолтный путь logpath = /var/log/auth.log # количество попыток, после которых банят. maxretry = 4 ....
Не забываем перезапускать fail2ban после изменения конфигурации командой:
$ /etc/init.d/fail2ban restart