Fail2ban una excel·lent opció per repel·lir atacs de força bruta en el teu servidor

Darkcrizt

4 minuts

falla2ban

Un dels vectors datac més comuns contra els servidors són els intents dinici de sessió de força bruta. Aquí és on els atacants intenten accedir al vostre servidor, intentant combinacions infinites de noms dusuari i contrasenyes.

Per a aquest tipus de problemes la solució més ràpida i efectiva és limitar el nombre d'intents i bloquejar l'accés a l'usuari o aquesta IP per cert temps. A més, és important saber que per això també hi ha aplicacions de codi obert específicament dissenyades per defensar-se contra aquest tipus d'atac.

En la publicació d'avui, et presentaré un es diu Fail2Ban. Desenvolupat originalment per Cyril Jaquier el 2004, Fail2Ban és un marc de programari de prevenció d'intrusions que protegeix els servidors dels atacs de força bruta.

Sobre Fail2ban

Fail2ban escaneja fitxers de registre (/var/log/apache/error_log) i prohibeix les IP que mostren activitat maliciosa, com massa falles a les contrasenyes i la recerca de vulnerabilitats, etc.

En general, Fail2Ban es fa servir per actualitzar les regles del tallafocs per rebutjar les adreces IP per una quantitat específica de temps, encara que també es podria configurar qualsevol altra acció arbitrària (per exemple, enviar un correu electrònic).

Instal·lació de Fail2Ban a Linux

Fail2Ban es troba dins de la majoria dels repositoris de les principals distribucions de Linux i més en especifico en les més utilitzades per al seu ús en servidors, tal és el cas com CentOS, RHEL i Ubuntu.

Per al cas d'Ubuntu només cal teclejar el següent per a la seva instal·lació:

sudo apt-get update && sudo apt-get install -y fail2ban

Mentre que per al cas de Centos i RHEL, han de teclejar el següent:

yum install epel-release
yum install fail2ban fail2ban-systemd

Si compteu amb SELinux és important actualitzar les polítiques amb:

yum update -y selinux-policy*

Fet això han de saber en primer pla que els fitxers de configuració de Fail2Ban són a /etc/fail2ban.

La configuració de Fail2Ban es divideix principalment en dos fitxers clau; aquests són fail2ban.confy jail.conf. fail2ban.confes el fitxer de configuració més ampli de Fail2Ban, on podeu configurar ajustaments com:

  • El nivell de registre.
  • El fitxer per iniciar sessió.
  • El fitxer de socket de procés.
  • El fitxer pid.

jail.conf és on configura opcions com:

  • La configuració dels serveis a defensar.
  • Per quant de temps prohibir si haurien de ser atacats.
  • Ladreça de correu electrònic per enviar informes.
  • Lacció a prendre quan es detecta un atac.
  • Un conjunt predefinit de configuracions, com ara SSH.

Configuració

Ara passarem a la part de la configuració, el primer que farem és una còpia de seguretat del nostre arxiu jail.conf amb:

cp -pf /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

I procedim a editar ara amb nano:

nano /etc/fail2ban/jail.local

Dins anem a la secció [Default] on podem fer alguns ajustaments.

Aquí a la part de “ingoreip” són les adreces d'IP que quedaran fora i seran completament ignorades per Fail2Ban, és a dir bàsicament la IP del servidor (la local) i les altres que consideris que cal ignorar.

D'aquí a fora les altres IP que tinguin accessos fallits estaran a mercè de ser banejades i esperar la quantitat de segons que estarà banejada (per default són 3600 segons) i que fail2ban només actua després de 6 intents fallits

Després de la configuració general, ara indicarem el servei. Fail2Ban ja té alguns filtres predefinits per a diversos serveis. Així que només fes algunes adaptacions. Aquí hi ha un exemple:

[ssh] enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6

Amb els canvis pertinents realitzats, finalment necessitessin tornar a carregar Fail2Ban, executant:

service fail2ban reload
systemctl enable firewalld
systemctl start firewalld

Un cop fet això, fem una comprovació ràpida per veure que Fail2Ban s'està executant:

sudo fail2ban-client status

Desbanejar una IP

Ara que hem prohibit amb èxit una IP, què passa si volem desbanejar una IP? Per fer això, novament podem utilitzar fail2ban-client i dir-li que desbanegeu una IP específica, com en el següent exemple.

sudo fail2ban-client set ssh unbanip xxx.xxx.xx.xx

On “xxx….” serà l'adreça IP que tu indiquis.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.