Protegendo debain com fail2ban ou iptables

Navegue suas respostas
1

Estou procurando proteger meu servidor. Inicialmente, meu primeiro pensamento foi usar iptables , mas também aprendi sobre Fail2ban . Eu entendo que o Fail2ban é baseado no iptables, mas tem as vantagens de ser capaz de banir IPs depois de várias tentativas.

Digamos que eu queira bloquear completamente o FTP:

  1. Devo escrever uma regra de IPtable separada para bloquear o FTP e usar o Fail2ban apenas para SSH
  2. Em vez disso, basta colocar todas as regras, até mesmo a regra de bloqueio de FTP na configuração do Fail2Ban

Qualquer ajuda sobre isso seria apreciada.

James

    
por Jimmy 06.06.2014 / 10:43

4 respostas

2

Para responder às suas perguntas específicas.

  • Se você não tem utilidade para FTP, então não deve instalar nenhum daemon de ftp.
  • SFTP faz parte do sshd você pode configurar o sshd para desativá-lo
    • Comente as diretivas, por exemplo # Subsystem sftp /usr/lib/openssh/sftp-server em / etc / ssh / sshd_config
  • Use a política do iptables para ajudá-lo - faça o DROP DA POLÍTICA.
  • O Fail2ban é útil apenas para bloquear 'ofensores' persistentes.

Para responder à sua pergunta mais genérica Scott Pack escreveu uma excelente resposta para Dicas para proteger um servidor LAMP que, mesmo que seu servidor não seja especificamente LAMP (ou similar), terá informações que você achará útil. Scott também publicou este excelente postagem no blog no iptables hoje mesmo. Você tem muita leitura para passar.

    
por 06.06.2014 / 11:36
3

Se você quiser bloquear completamente o FTP, a maneira mais fácil e segura de fazer isso é simplesmente desativar o daemon de FTP. No entanto, se você deseja proteger o FTP da Internet, use o fail2ban, que amplia a funcionalidade do IPtable e permite que você bloqueie IPs suspeitos específicos. Se você pretende usar o FTP localmente e bloquear a partir da Internet, use o IPtables.

    
por 06.06.2014 / 11:03
1

Para bloquear completamente, você quer o iptables, não o fail2ban. O Fail2ban é para bloquear sites que acionam apenas a detecção maliciosa.

  • Coloque o fail2ban em seus serviços que você deve ter aberto à internet (por exemplo, SSH em sua pergunta)
  • Coloque blocos iptables em qualquer serviço que você queira ativo internamente e bloqueie de outra forma (por exemplo, FTP em sua pergunta)
  • Também coloque regras de iptable em serviços que você usa apenas de endereços IP específicos

Você pode apenas alterar sua porta padrão para itens como o SSH, que bloqueará 99,999% de todas as varreduras e tentativas de invasão. Se o seu SSH estiver em uma porta não padrão, quando você detectar atividades maliciosas, poderá assumir que isso é realmente sério.

    
por 06.06.2014 / 11:06
1

O Fail2Ban tem como objetivo proibir os IPs após um número (configurado) errado tentar acessar um serviço aberto . Então, se você quiser bloquear FTP para redes externas, você deve usar o iptables. Mas se você quiser bloquear completamente o FTP, pode sempre interromper o serviço em si.

    
por 06.06.2014 / 11:04

Tags

o apache mod_substitute funciona em enrolar mas não no navegador Placa-mãe com 4x1GbE, posso obter taxa de transferência de 4 Gbits? [fechadas]