Fail2ban: Różnice pomiędzy wersjami
(Utworzył nową stronę „Fail2Ban - oprogramowanie służące ochronie systemu informatycznego poprzez blokowaniu ataków typu Brute-Force na najważniejsze usługi systemowe (SSH / FTP). W w…”) |
m |
||
Linia 34: | Linia 34: | ||
Linia 62: | Linia 61: | ||
maxretry = 6 | maxretry = 6 | ||
</pre> | </pre> | ||
[[Plik:Fail2ban w akcji powiadomienie.png|200px|thumb|right|Fail2ban w akcji (powiadomienie)]] | |||
6 jest liczbą domyślną, i według mojej oceny nie wybraną przypadkowo. | 6 jest liczbą domyślną, i według mojej oceny nie wybraną przypadkowo. |
Wersja z 19:28, 27 sie 2009
Fail2Ban - oprogramowanie służące ochronie systemu informatycznego poprzez blokowaniu ataków typu Brute-Force na najważniejsze usługi systemowe (SSH / FTP).
W wypadku wykrycia zbyt dużej liczby niepowodzeń w logowaniu, fail2ban zablokuje użytkownikowi dostęp do serwera poprzez blokadę na firewallu.
Instalacja
apt-get install fail2ban
Plik konfiguracyjny:
nano /etc/fail2ban/jail.local
Dodawanie adresu ip (192.168.0.243) do białej listy
ignoreip = 127.0.0.1 192.168.0.243
Powyższe adresy będą wykluczone ze sprawdzania.
Czas blokady (w sekundach)
bantime = 600
Wysyłanie logów o "próbie włamania" na adres e-mail.
Ustawiamy adres e-mail odbiorcy logów.
destemail = xxx@domena.pl
Zmieniamy tryb z (samego banowania, na banowanie z logami via email)
Edytujemy wpis
action = %(action_)s
modyfikując na
action = %(action_mwl)s
Ilość nieudanych prób logowania definiujemy poprzez
maxretry = 6
6 jest liczbą domyślną, i według mojej oceny nie wybraną przypadkowo. Niektórzy użytkownicy korzystają z zestawu kilku haseł domyślnych, więc zanim uda im się trafić w to "właściwe" mija kilka prób. Bardziej agresywna polityka typu 2/3 może spotkać się z narzekaniami tych że użytkowników, i koniecznością " ich odblokowywania" lub dodawania do "białej listy".
W związku z powyższym w niektórych wypadkach sugerował bym nawet zwiększenie limitu do 12 prób lecz znaczne zwiększenie czasu blokady. Zyskujemy wtedy 100% pewność że akcja użytkownika jest faktycznie atakiem, a nie próbą "odgadnięcia swojego hasła". W takim wypadku nie będziemy musieli nadmiernie ingerować w nasz serwer, w celu odblokowania zapominalskich userów.