Como posso atualizar o Fail2Ban no Ubuntu 12.04.5 LTS para instalar o filtro “recidive”?

Navegue suas respostas
2

Pergunta básica.

Como posso instalar uma versão atualizada do Fail2Ban no meu Ubuntu 12.04.5 LTS (Precise Pangolin) para que eu possa ter um conjunto de filtros recidive . O Ubuntu 12.04.5 LTS instala o Fail2Ban 0.8.6 e eu preciso do Fail2Ban 0.8.7 para usar o filtro recidive .

Mais detalhes.

Eu gerencio um monte de servidores Ubuntu 12.04.5 LTS (Precise Pangolin) e instalei o Fail2Ban especificamente para bloquear a força bruta repetida do SSH tentativas. Esses ataques são direcionados a root e o usuário root está desabilitado em todos esses sistemas, mas eu só quero adicionar outra camada de proteção ao meu mix, bem como reduzir o "ruído" de ter que peneirar por tentativas de login com falha no meu SSH auth.log .

De qualquer forma, a versão do Fail2Ban - versão 0.8.6 - que é instalada para o Ubuntu 12.04.5 LTS dos repositórios padrão funciona muito bem na maior parte. Mas parece que falta apoio para bloquear os reincidentes. E esses servidores estão definitivamente recebendo muitas tentativas de força bruta persistentes. Então, quero ter certeza de que esses palhaços estão bloqueados por mais tempo.

Eu verifiquei este post no blog intitulado “Proibir permanentemente a repetição de criminosos com o fail2ban (ATUALIZADO)” e recomenda usar o filtro recidive . O restante desse post mostra como configurar um equivalente personalizado de recidive , mas não desejo usar uma solução personalizada se uma solução incorporada, como recidive , existir.

Mas quando tento definir o filtro recidive no Fail2Ban 0.8.6 e reiniciar o serviço, ele falha dizendo que o filtro recidive não existe.

Quando eu verifiquei o changelog do Fail2Ban no GitHub , vejo que recidive support foi adicionado versão 0.8.7: 

Tom Hendrikx
 * [f94a121..] 'recidive' filter/jail to monitor fail2ban.conf to ban
   repeated offenders. Close gh-19

Bem, isso não é especial. Estou usando o 0.8.6 e a versão 0.8.7 tem suporte para isso.

Então, como posso instalar facilmente algo mais recente do que o Fail2Ban 0.8.6 no Ubuntu 12.04.5 LTS? Eu tentei instalar a versão 0.9.3 clonando o repositório GitHub, mudando para o ramo Debian (já que o Ubuntu é baseado no Debian) e parecia funcionar. Mas o serviço de inicialização não funcionou e também parece que o 0.9.3 não funciona com a versão do IPTables que eu instalei no Ubuntu 12.04.5 LTS, a menos que eu ajuste alguns arquivos de configuração ou possivelmente atualize o próprio IPTables.

Talvez haja uma maneira de ajustar tudo para trabalhar com o Ubuntu 12.04.5 LTS, mas não tenho tempo ou disposição para lidar com isso, já que tudo que eu quero é recidive support e não me importo com mais nada . O que posso fazer?

    
por JakeGould 25.10.2015 / 06:01

2 respostas

1

Depois de ficar frustrado ao tentar instalar o Fail2Ban 0.9.3 a partir do código-fonte, eu procurei por um PPA personalizado e não encontrei nenhum. Mas então deparei com a página do pacote oficial do Ubuntu para o Fail2Ban e isso me deu uma idéia. O pacote oficial do Ubuntu 14.10 (Utopic Unicorn) para o Fail2Ban está na versão 0.8.13. Por que não instalar isso?

Então eu me livrei da instalação do Ubuntu 12.04.5 do Fail2Ban assim: 

sudo aptitude purge fail2ban

Então eu instalei algumas dependências do Fail2Ban manualmente assim: 

sudo aptitude install gamin libgamin0 python-central python-gamin python-support

Feito isso, peguei o arquivo raw, source Ubuntu .deb archive para o Fail2Ban 0.8.13 assim: 

curl -O -L http://old-releases.ubuntu.com/ubuntu/pool/universe/f/fail2ban/fail2ban_0.8.13-1_all.deb

E então eu instalei com dpkg assim: 

sudo dpkg -i fail2ban_0.8.13-1_all.deb

Quando isso foi feito, verifiquei a versão do material instalada assim: 

fail2ban-client --version

E funcionou! 

Fail2Ban v0.8.13

Copyright (c) 2004-2008 Cyril Jaquier, 2008- Fail2Ban Contributors
Copyright of modifications held by their respective authors.
Licensed under the GNU General Public License v2 (GPL).

Written by Cyril Jaquier <[email protected]>.
Many contributions by Yaroslav O. Halchenko <[email protected]>.

Com o Fail2Ban 0.8.13, agora posso adicionar um filtro recidive a /etc/fail2ban/jail.local e tudo funciona conforme esperado.

NOTA: Por favor, note que enquanto tudo isso parece funcionar - e como essa é uma pergunta auto-respondida - se alguém lá fora acredita ou suspeita que esse tipo de instalação de um pacote Ubuntu 14.10 no Ubuntu 12.04.5 é um problema esperando para acontecer, por favor me avise. Como o Fail2Ban é todo baseado em Python e parece funcionar como esperado agora, suspeito que esse pacote seja leve o suficiente para não ter problemas. Mas deixe-me saber se minha suposição está incorreta.

    
por 25.10.2015 / 06:16
-1

Eu tive um problema semelhante. Estou em Ubu 14.04.05 64 bits com a versão do repo Fail2ban v0.8.11.

A versão v0.8.14, que está listada como "muito estável" no site principal do Fail2ban.

Acontece que você pode simplesmente baixar a versão mais recente e executar o seu arquivo setup.py para sobrescrever a v0.8.11. Não há necessidade de remover (desinstalar) v0.8.11 nem de instalar outras dependências. No entanto, há uma pegadinha que descreverei abaixo.

De qualquer forma, aqui está a minha solução:

Instale o Fail2ban do repositório, se ainda não o fez 

apt-get update && apt-get upgrade -y
apt-get install build-essential -y
apt-get install fail2ban

Verifique a versão do Fail2ban e pare-a 

fail2ban-client --version
fail2ban-client stop

Faça o download de v0.8.14 do Github, untar 

wget https://github.com/fail2ban/fail2ban/archive/0.8.14.tar.gz
tar -xzf 0.8.14.*

IMPORTANTE, NÃO PASSE ISTO : Copie o atual fail2ban.conf e jail.conf de / etc / fail2ban para algum lugar seguro. Crie uma nova pasta, se necessário. Não se preocupe com jail.local. 

cp /etc/fail2ban/fail2ban.conf SOME_OTHER_FOLDER
cp /etc/fail2ban/jail.conf SOME_OTHER_FOLDER

Execute o setup.py para v0.8.14 

cd fail2ban-0.8.14
python setup.py install

Mova os dois arquivos .conf que você copiou anteriormente de volta para / etc / fail2ban, sobrescrevendo aqueles criados pela configuração v0.8.14. 

mv SOME_OTHER_FOLDER/fail2ban.conf /etc/fail2ban 
mv SOME_OTHER_FOLDER/jail.conf /etc/fail2ban

Inicie o fail2ban, verifique a versão 

fail2ban-client start
fail2ban-client --version

Como não fizemos uma "remoção" do Fail2ban, não há necessidade de mexer nos scripts de inicialização ou inicialização; O Fail2ban ainda será iniciado na reinicialização.

O backup dos arquivos .conf é importante porque o v0.8.14 setup.py pode gerar arquivos .conf inválidos que farão com que o Fail2ban não seja executado. (Ele provavelmente será encerrado com um "Have não foi encontrado nenhum arquivo de log "erro"

    
por 20.09.2017 / 02:38

Tags

arquivo de inicialização vmlinuz excluído - opções para recuperar? Gateway OpenVPN através do OpenVPN