Aviso Fail2ban sobre a proibição de IP's e HTTP

1

Instalei recentemente o fail2ban como uma forma de manter um dos nossos servidores da Web protegido contra ataques SSH e HTTP. No momento, estou recebendo muitos ataques ssh, mas o fail2ban está banindo e, em seguida, desbaniciando esses. É uma maneira de banir permanentemente esses IPs devido ao nível de ataques?

Também no fail2ban como permitir solicitações HTTP de um determinado IP para que elas não sejam banidas, pois nossos desenvolvedores farão muitas solicitações estranhas na pasta / var / www / dev que mostrará que o arquivo não existe, etc.

Todos os conselhos receberam aplausos

    
por Grimlockz 04.05.2011 / 12:22

3 respostas

4

Você pode adicionar um IP / rede à lista de permissões do fail2ban para realizar apenas isso (a segunda parte, quero dizer). Edite o parâmetro ignoreip no seu jail.conf (provavelmente em /etc/fail2ban ).

Quanto à primeira parte, vi essa solução alternativa mencionada no wiki do fail2ban:

link

    
por 04.05.2011 / 13:44
2

Eu uso denyhosts

Por padrão, ele não elimina proibições

Você pode ter exclusões em /etc/hosts.allow

    
por 04.05.2011 / 13:27
2

Acho que você precisará usar uma combinação de fail2ban (para proibições temporárias) e denyhosts (para proibições permanentes).

Eu aconselharia ter muito cuidado com as proibições permanentes, isso pode sair pela culatra de maneiras inesperadas (como solicitações válidas e tentativas de invasão vindas do mesmo IP público, porque a fonte real está por trás de um firewall mascarado, por exemplo, uma rede universitária) . É provavelmente uma idéia melhor brincar com as configurações de prisão para tentativas de invasão específicas no fail2ban até que você consiga um bom compromisso.

    
por 04.05.2011 / 18:49