Baneando a los malos: Ataques a ssh vs fail2ban

Publicado en Agosto 7th, 2009 | por bambuka | 65 views

fail2ban_logoLa función principal de fail2ban es banear las ips de los hosts que están intentando abrir una brecha de seguridad en nuestro sistema. Fail2ban determina que ips están tocando los eggs examinando logs y banea las ips que hacen demasiados intentos de acceso fallidos o cualquier otra acción indebida en un periodo de tiempo estipulado. Podemos especificar que ips son legítimas y no tiene que benear bajo ningún concepto, también el tiempo que una ip quedará baneada y por supuesto, el número de intentos que dejaremos antes de darla como ilegítima y rechazarla.
Incluye de serie una serie de reglas para los siguientes servicios: Apache, sshd, Vsftpd, Qmail, Postfix y Courier. Podemos añadir más reglas para los servicios que usemos y no vengan ya incluidos.

Instalación:

apt-get install fail2ban

Editamos el fichero /etc/fail2ban/jail.conf
ignoreip = 127.0.0.1 172.30.24.147
bantime = 3600
maxretry = 3
destemail = micorreo@domain.es
mta = mail
action = %(action_mwl)s

A saber, ignoreip son las ips de confianza que nunca deberán ser baneadas aunque lleguemos de las cañas y nos pongamos a meter claves con menos acierto que Camps a la hora de elegir sastre. bantime, en segundos. maxretry, número de cagadas para mandarlo a freír espárragos. destemail, donde nos enviarán los reportes cada vez que baneen una ip y demás info. mta, si utilizas sendmail lo dejas por defecto si no, mail. action, como nos informará fail2ban de sus acciones. Con %(action_mwl)s sería completo, es decir, nos envíará un correo tal que así:

The IP 85.66.110.62 has just been banned by Fail2Ban after
6 attempts against ssh.
Here are more information about: 85.66.110.62:
Lines containing IP:85.66.110.62 in /var/log/auth.log
Aug 6 19:48:06 anotherhost sshd[10766]: Did not receive identification string from 85.66.110.62
Aug 6 19:52:32 anotherhost sshd[10768]: Failed password for root from 85.66.110.62 port 59659 ssh2
Aug 6 19:52:34 anotherhost sshd[10772]: Failed password for root from 85.66.110.62 port 60865 ssh2
Aug 6 19:52:37 anotherhost sshd[10776]: Failed password for root from 85.66.110.62 port 33687 ssh2
Aug 6 19:52:40 anotherhost sshd[10780]: Failed password for root from 85.66.110.62 port 34631 ssh2
Aug 6 19:52:43 anotherhost sshd[10784]: Failed password for root from 85.66.110.62 port 35919 ssh2
Aug 6 19:52:46 anotherhost sshd[10788]: Failed password for root from 85.66.110.62 port 37043 ssh2

Por último, editamos el fichero /etc/fail2ban/action.d/mail.conf y abajo del todo, donde pone: ‘dest =’ ponemos nuestro correo.

Una vez que tengamos configurado esto podemos reiniciar el servicio y listo.

Un saludo, cualquier duda o sugerencia aquí estamos.

Compártelo!!!
  • Google Bookmarks
  • BarraPunto
  • Meneame
  • Bitacoras.com
  • Digg
  • email
  • Facebook
  • Live
  • StumbleUpon
  • Twitter
  • Wikio
  • Yahoo! Bookmarks

Artículos relacionados

Lo siento, comentarios para esta entrada están cerrados en este momento.