Como instalar e configurar o Fail2ban 0.9.3-1 no Ubuntu 16.04? Qualquer guia para iniciantes?

1

Bem simples como a pergunta soa, mas na internet não é nada que possa me ajudar aqui. Alguém conhece um bom recurso sobre o assunto? Ou talvez alguém gostaria de descrever o processo aqui? Tenho a sensação de que isso é muito mais fácil do que o que estou passando devido à falta de informação.

Eu como um iniciante, ao longo de muitos outros, eu estaria interessado em passos específicos que eu deveria dar para instalar e configurar + JAILS específicas que eu deveria ter, e também me pergunto por que não ativar todas as prisões, isso de alguma forma danificar meu servidor?

Muito obrigado a todos que me ajudarem aqui!

    
por Knowledge Knight 28.02.2017 / 12:05

2 respostas

1

Isso parece ser um bom guia (está no meu histórico do navegador, então presumo Eu usei isso no passado).

O Fail2ban é bastante simples. É principalmente certificar-se de que você whitelist sua rede LAN (assim você não se trancar para fora), permitindo que cada uma das cadeias internas que você quer e aprimorando o tempo de proibição e tente novamente. É bastante trivial escrever suas próprias cadeias, mas as internas incorporam 90% dos casos de uso.

Coloque na lista de permissões o endereço de qualquer máquina da qual você possa se conectar. Portanto, se você estiver na mesma rede, e seu servidor for 192.168.1.1 e seu PC estiver 192.168.1.2, coloque a sub-rede 192.168.1.0 na lista de permissões com a notação 192.168.1.0/24. Se você estiver fazendo o login remotamente e tiver um endereço IP estático em casa / no trabalho, coloque na lista de permissões esse endereço IP. Se você estiver em uma conexão dinâmica, talvez queira colocar na lista de permissões toda a sub-rede do seu ISP, mas não é recomendado.

    
por 28.02.2017 / 12:25
0

O processo é realmente direto, mas observe que as prisões que procuram fontes de log inexistentes (por exemplo, arquivos) podem fazer com que o fail2ban não seja iniciado.

Eu não sei os detalhes no Ubuntu, mas para centos, eu faria:

  • escolha meu firewall (que acabaria sendo firewalld, porque esse é o padrão do CentOS7)
  • instale o fail2ban e as ligações de firewall corretas
  • inicie o fail2ban e assegure-se de que ele funcione (por padrão, ele terá a cadeia SSH ativa).
  • pense no que você precisa em seguida

Uma coisa que você pode considerar é simplesmente estender o bloco posto em prática pela cadeia SSH, para bloquear completamente qualquer fonte ofensiva (ou seja, não apenas bloqueie a porta 22, mas todo o tráfego).

Se você achar que precisa de outras prisões e / ou filtros, eu gostaria de:

  • use /etc/fail2ban/jail.d para armazenar minhas configurações de jail, a fim de garantir que eu possa remover qualquer coisa que esteja causando problemas sem precisar passar por um arquivo de configuração grande
  • Certifique-se de testar novas cadeias, principalmente não , usando-as para SSH inicialmente, e garantindo que elas se apliquem apenas aos serviços cujos logs a cadeia está monitorando.

Eu tenho um pequeno exemplo em ansible online, veja link e link (por exemplo, link )

O código geral ainda não está necessariamente no formato da nave, por isso não posso recomendar que você o use (pelo menos não sem ter 100% de certeza de que compreende tudo), mas espero que esses fragmentos sejam úteis.

    
por 28.02.2017 / 14:04