Proteção utilizando fail2ban contra ataques do tipo
O fail2ban pode monitorar a tentativa de login nos serviços ssh, pam, xinetd, apache, vsftpd, proftpd, wuftpd, postfix, couriersmtp, courierauth, sasl e named, e em uma ação pró-ativa bloquear o possível ataque, adicionando uma regra no firewall.
[ Hits: 77.346 ]
Por: Ricardo Brito do Nascimento em 30/08/2011 | Blog: http://brito.blog.incolume.com.br
Exemplos e Referências
Exemplos para fail2ban
Exemplo de monitoração ao PAM e xinetd:[pam-generic]
enabled = false
# pam-generic filter can be customized to monitor specific subset of 'tty's
filter = pam-generic
# port actually must be irrelevant but lets leave it all for some possible uses
port = all
banaction = iptables-allports
port = anyport
logpath = /var/log/auth.log
maxretry = 6
[xinetd-fail]
enabled = false
filter = xinetd-fail
port = all
banaction = iptables-multiport-log
logpath = /var/log/daemon.log
maxretry = 2
...
Exemplo de monitoração ao apache:
#
# HTTP servers
#
[apache]
enabled = false
port = http,https
filter = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 6
# default action is now multiport, so apache-multiport jail was left
# for compatibility with previous (<0.7.6-2) releases
[apache-multiport]
enabled = false
port = http,https
filter = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 6
[apache-noscript]
enabled = false
port = http,https
filter = apache-noscript
logpath = /var/log/apache*/*error.log
maxretry = 6
[apache-overflows]
enabled = false
port = http,https
filter = apache-overflows
logpath = /var/log/apache*/*error.log
maxretry = 2
...
Exemplo de monitoração ao FTP:
#
# FTP servers
#
[vsftpd]
enabled = false
port = ftp,ftp-data,ftps,ftps-data
filter = vsftpd
logpath = /var/log/vsftpd.log
# or overwrite it in jails.local to be
# logpath = /var/log/auth.log
# if you want to rely on PAM failed login attempts
# vsftpd's failregex should match both of those formats
maxretry = 6
[proftpd]
enabled = false
port = ftp,ftp-data,ftps,ftps-data
filter = proftpd
logpath = /var/log/proftpd/proftpd.log
maxretry = 6
[wuftpd]
enabled = false
port = ftp,ftp-data,ftps,ftps-data
filter = wuftpd
logpath = /var/log/auth.log
maxretry = 6
...
Exemplo de monitoração ao DNS:
# DNS Servers
# These jails block attacks against named (bind9). By default, logging is off
# with bind9 installation. You will need something like this:
#
# logging {
# channel security_file {
# file "/var/log/named/security.log" versions 3 size 30m;
# severity dynamic;
# print-time yes;
# };
# category security {
# security_file;
# };
# };
#
# in your named.conf to provide proper logging
# Word of Caution:
# Given filter can lead to DoS attack against your DNS server
# since there is no way to assure that UDP packets come from the
# real source IP
[named-refused-udp]
enabled = false
port = domain,953
protocol = udp
filter = named-refused
logpath = /var/log/named/security.log
[named-refused-tcp]
enabled = false
port = domain,953
protocol = tcp
filter = named-refused
logpath = /var/log/named/security.log
...
Referências
- http://sourceforge.net/projects/fail2ban/files/fail2ban-stable/fail2ban-0.8.4
- http://fedoraproject.org/wiki/EPEL
- https://fedoraproject.org/keys
- http://en.wikipedia.org/wiki/CIDR_notation
- http://compnetworking.about.com/od/workingwithipaddresses/a/cidr_notation.htm
- http://www.petri.co.il/whats_cidr.htm
2. Configuração para fail2ban
3. Exemplos e Referências
Instalação Plone 2.5.5 com módulos customizados
Clonagem de Hardware Hotline em Software Livre
Encapsulamento de Apache com chroot
Metasploit - Instalação e utilização em ambiente GNU/Linux
Sudoers 1.8.12 - Parte I - Manual
Instalando o Cisco VPN Client no Linux
Cheops: uma ótima ferramenta de rede
Olá Ricardo!
Sensacional o artigo, estou iniciando um trabalho com essa ferramenta, e tenho uma dúvida... na opção "enable = false", esta estaria ativando a monitoração desejada ou estaria stopando-a?
Fiquei em dúvida, porque estou usando o arquivo jail.* como a extensão .local, teria algo a ver ou viajei muito?!
Abraços!
Boa tarde, Ótimo artigo, gostaria de saber onde visualizo a blacklist q o fail2ban cria...
muito bom o artigo, tenho uma pergunta, consigo bloquear ao invés do IP o MAC ??
Patrocínio
Destaques
Artigos
Instalar e Configurar o Slackware Linux em 2025
Como configurar os repositórios do apt no Debian 12 em 2025
Passkeys: A Evolução da Autenticação Digital
Instalação de distro Linux em computadores, netbooks, etc, em rede com o Clonezilla
Dicas
Configurando o Conky para iniciar corretamente no sistema
3 configurações básicas que podem melhorar muito a sua edição pelo editor nano
Como colorir os logs do terminal com ccze
Instalação Microsoft Edge no Linux Mint 22
Como configurar posicionamento e movimento de janelas no Lubuntu (Openbox) com atalhos de teclado
Tópicos
Jogando com Proton no LInux (0)
Ingress NGINX Controller CVSS base score of 9.8 (4)
Impossível corrigir problemas, você manteve (hold) pacotes quebrados. (2)
Top 10 do mês
-
Xerxes
1° lugar - 74.976 pts -
Fábio Berbert de Paula
2° lugar - 53.350 pts -
Buckminster
3° lugar - 18.284 pts -
Mauricio Ferrari
4° lugar - 17.700 pts -
Daniel Lara Souza
5° lugar - 15.446 pts -
Alberto Federman Neto.
6° lugar - 15.168 pts -
Diego Mendes Rodrigues
7° lugar - 14.729 pts -
edps
8° lugar - 13.675 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 12.066 pts -
Andre (pinduvoz)
10° lugar - 11.865 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
