Fail2ban: Różnice pomiędzy wersjami

Z Podręcznik Administratora by OPZ SGU
Przejdź do nawigacji Przejdź do wyszukiwania
(Utworzył nową stronę „Fail2Ban - oprogramowanie służące ochronie systemu informatycznego poprzez blokowaniu ataków typu Brute-Force na najważniejsze usługi systemowe (SSH / FTP). W w…”)
 
m
Linia 34: Linia 34:




[[Plik:Fail2ban w akcji powiadomienie.png|200px|thumb|right|Fail2ban w akcji (powiadomienie)]]




Linia 62: Linia 61:
maxretry = 6  
maxretry = 6  
</pre>
</pre>
[[Plik:Fail2ban w akcji powiadomienie.png|200px|thumb|right|Fail2ban w akcji (powiadomienie)]]


6 jest liczbą domyślną, i według mojej oceny nie wybraną przypadkowo.
6 jest liczbą domyślną, i według mojej oceny nie wybraną przypadkowo.

Wersja z 19:28, 27 sie 2009

Fail2Ban - oprogramowanie służące ochronie systemu informatycznego poprzez blokowaniu ataków typu Brute-Force na najważniejsze usługi systemowe (SSH / FTP).


W wypadku wykrycia zbyt dużej liczby niepowodzeń w logowaniu, fail2ban zablokuje użytkownikowi dostęp do serwera poprzez blokadę na firewallu.


Instalacja

apt-get install fail2ban


Plik konfiguracyjny:

nano /etc/fail2ban/jail.local


Dodawanie adresu ip (192.168.0.243) do białej listy

ignoreip = 127.0.0.1 192.168.0.243

Powyższe adresy będą wykluczone ze sprawdzania.


Czas blokady (w sekundach)

bantime  = 600



Wysyłanie logów o "próbie włamania" na adres e-mail.


Ustawiamy adres e-mail odbiorcy logów.

destemail = xxx@domena.pl

Zmieniamy tryb z (samego banowania, na banowanie z logami via email)

Edytujemy wpis

action = %(action_)s

modyfikując na

action = %(action_mwl)s


Ilość nieudanych prób logowania definiujemy poprzez

maxretry = 6 
Fail2ban w akcji (powiadomienie)

6 jest liczbą domyślną, i według mojej oceny nie wybraną przypadkowo. Niektórzy użytkownicy korzystają z zestawu kilku haseł domyślnych, więc zanim uda im się trafić w to "właściwe" mija kilka prób. Bardziej agresywna polityka typu 2/3 może spotkać się z narzekaniami tych że użytkowników, i koniecznością " ich odblokowywania" lub dodawania do "białej listy".

W związku z powyższym w niektórych wypadkach sugerował bym nawet zwiększenie limitu do 12 prób lecz znaczne zwiększenie czasu blokady. Zyskujemy wtedy 100% pewność że akcja użytkownika jest faktycznie atakiem, a nie próbą "odgadnięcia swojego hasła". W takim wypadku nie będziemy musieli nadmiernie ingerować w nasz serwer, w celu odblokowania zapominalskich userów.