Felhasználói eszközök

Eszközök a webhelyen


fail2ban

Fail2Ban

A Fail2Ban egy olyan alkalmazás, amely a log fájlokat böngészi és azonos IP-ről érkező túl sok hibás próbálkozás esetén átmenetileg letiltja az adott host csatlakozását iptables szabály hozzáadásával.

Ajánlom, hogy nézd meg a Spamhaus DROP leírást is!

TIPP: ha teheted, helyezd át a szolgáltatásaid nem általános portokra! Pl: az ssh alapértelmezetten a 22 portra települ, tedd át máshova, pl a 38022-re és máris harmad annyi támadó fog rád találni.

Telepítés CentOS alatt

A Fail2Ban-t az rpmforge repositoryban lehet fellelni kész csomagként. Az rpmforge repository és a fail2ban telepítéséhez használja a kövekező parancsot:

# rpm -Uhv http://apt.sw.be/redhat/el5/en/x86_64/rpmforge/RPMS//rpmforge-release-0.3.6-1.el5.rf.x86_64.rpm
# yum update
# yum install fail2ban

Telepítés Ubuntu és Debian alatt

Az Ubuntu és Debian rendszerek csomagkezelői alapértelmezetten ismerika fail2ban csomagot:

# apt-get install fail2ban

A Fail2Ban beállítása

A Fail2Ban beállításait a /etc/fail2ban könyvtárban találjuk. A jail.conf fájl tartalmazza az ellenőrizendő log fájlokat és a hozzájuk tartozó ellenőrző scripteket. Végezzük el a megfelelő módosításokat (értesítési email cím, maximum hibás próbálkozások száma) és engedélyezzük. Itt egy minta az SSH ellenőrzésére:

[ssh-iptables]

enabled  = enabled
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
         sendmail-whois[name=SSH, dest=CIMZETT@SAJATDOAMAIN.COM,   sender=fail2ban@SAJATDOMAIN.COM]
logpath  = /var/log/secure
maxretry = 5

A fájlban feljebb megtaláljuk a bantime és findtime változókat. A bantime az az időszak másodpercben, amennyi ideig a hostod kitiltja a fail2ban a szerverről, míg a findtime azt mondja meg, hogy mekkora a maxretry vizsgálati ideje.

fail2ban.txt · Utolsó módosítás: 2013/02/24 21:38 (külső szerkesztés)

Eszközök az oldalon