Block Hosts: Bloqueando ataques de força-bruta (brute force) em FTP, SSH e outros
Entenda melhor este tipo de ataque e conheça as principais maneiras de evitá-lo com ajuda da ferramenta Block Hosts.
[ Hits: 41.308 ]
Por: Perfil removido em 17/11/2009
Instalação do Block Hosts
Para descrever a instalação está sendo considerado como base um sistema Debian Linux versão 5.0.3 com Kernel 2.6.26-2-486. Segue abaixo descrição passo-a-passo em 4 itens.
PASSO 1: Faça download do arquivo ZIP da última versão do Block Hosts disponível em:
Hoje a última versão disponível é 2.4.0.
PASSO 2: Instale os pacotes que são requisitos básicos necessários para o funcionamento. São eles:
No Debian, utilize o comando "apt-get install logwatch python python-optcomplete", que irá instalar tudo automaticamente para você. Para outros sistemas, basta adaptar o processo de instalação destes pacotes.
PASSO 3: Edite o arquivo "/etc/hosts.deny" e insira no início do arquivo duas linhas, conforme descrito abaixo:
Esta é a marcação de qual parte do arquivo "hosts.deny" o Block Hosts vai inserir suas entradas de bloqueio de IPs.
PASSO 4: Descompacte o arquivo "BlockHosts-2.4.0.zip" ou equivalente à sua versão e acesse o diretório descompactado.
Para executar a instalação, rode o seguinte comando como root:
# python setup.py install --force
Este comando instalará automaticamente todos os arquivos necessários.
Se não ocorreu nenhuma mensagem de erro, a instalação está finalizada! Agora basta configurar.
PASSO 1: Faça download do arquivo ZIP da última versão do Block Hosts disponível em:
Hoje a última versão disponível é 2.4.0.
PASSO 2: Instale os pacotes que são requisitos básicos necessários para o funcionamento. São eles:
- logwatch
- python
- python-optcomplete
No Debian, utilize o comando "apt-get install logwatch python python-optcomplete", que irá instalar tudo automaticamente para você. Para outros sistemas, basta adaptar o processo de instalação destes pacotes.
PASSO 3: Edite o arquivo "/etc/hosts.deny" e insira no início do arquivo duas linhas, conforme descrito abaixo:
#---- BlockHosts Additions
#---- BlockHosts Additions
#---- BlockHosts Additions
Esta é a marcação de qual parte do arquivo "hosts.deny" o Block Hosts vai inserir suas entradas de bloqueio de IPs.
PASSO 4: Descompacte o arquivo "BlockHosts-2.4.0.zip" ou equivalente à sua versão e acesse o diretório descompactado.
Para executar a instalação, rode o seguinte comando como root:
# python setup.py install --force
Este comando instalará automaticamente todos os arquivos necessários.
Se não ocorreu nenhuma mensagem de erro, a instalação está finalizada! Agora basta configurar.
Páginas do artigo
1. Introdução2. Instalação do Block Hosts
3. Configuração e execução do Block Hosts
Outros artigos deste autor
XFree86 - Um pouco da história deste poderoso ambiente gráfico para UNIX
Palavras, expressões e celebridades do mundo do software livre
Formatando fontes no openoffice
Porque abandonar o Slackware e usar o Ubuntu
Compilando Kernel no CentOS 6.0
Leitura recomendada
Implementação de OpenVAS-5 em Ubuntu 10.04.4 LTS
Implementando a segurança em servicos de acesso remoto
Instalando o antivírus BitDefender no Linux
Comentários
[2] Comentário enviado por luizvieira em 17/11/2009 - 08:31h
Bom artigo!
Apenas um adendo: uma ferramenta boa pra verificar ataques à serviços é um IDS (Snort, por exemplo).
Valeu!
Bom artigo!
Apenas um adendo: uma ferramenta boa pra verificar ataques à serviços é um IDS (Snort, por exemplo).
Valeu!
[3] Comentário enviado por removido em 17/11/2009 - 09:21h
Obrigado pelos comentários! Como nosso amigo Luiz comentou, é muito importante ter um IDS na sua rede também.
Obrigado pelos comentários! Como nosso amigo Luiz comentou, é muito importante ter um IDS na sua rede também.
[4] Comentário enviado por cleysinhonv em 17/11/2009 - 10:09h
Olá,
Parabéns pelo artigo está bem explicado e isso é importante, fiquei só na dúvida sobre, se os serviços que ele bloqueia é ssh e o FTP são por padrão, ou se se eu quiser adicionar um outro serviço como o faço.
Esse foi para FAVORITOS.
Olá,
Parabéns pelo artigo está bem explicado e isso é importante, fiquei só na dúvida sobre, se os serviços que ele bloqueia é ssh e o FTP são por padrão, ou se se eu quiser adicionar um outro serviço como o faço.
Esse foi para FAVORITOS.
[5] Comentário enviado por removido em 17/11/2009 - 10:52h
Obrigado pelo comentário José Cleydson! Para adicionar outros serviços, você precisa apenas saber lidar com Expressões Regulares. Verifique no arquivo de configuração a diretiva "ALL_REGEXS", nela que são determinados as linhas do LOG que devem ser monitoradas. Por padrão o BlockHosts monitora os serviços ssh, proftpd, vsftpd, pure-ftpd, ftpd-Solaris, ipop3d, dovecot, qpopper, postfix, mas nada impede de você adicionar tantos outros quanto você queira. Boa sorte!
Obrigado pelo comentário José Cleydson! Para adicionar outros serviços, você precisa apenas saber lidar com Expressões Regulares. Verifique no arquivo de configuração a diretiva "ALL_REGEXS", nela que são determinados as linhas do LOG que devem ser monitoradas. Por padrão o BlockHosts monitora os serviços ssh, proftpd, vsftpd, pure-ftpd, ftpd-Solaris, ipop3d, dovecot, qpopper, postfix, mas nada impede de você adicionar tantos outros quanto você queira. Boa sorte!
[6] Comentário enviado por grandmaster em 17/11/2009 - 20:15h
Muito bom, guardado também
---
Renato de Castro Henriques
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br
Muito bom, guardado também
---
Renato de Castro Henriques
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br
[9] Comentário enviado por jucaetico em 27/11/2009 - 10:01h
cara só uma dúvida, fiz uns testes aqui.. olha meu "/var/log/blockhosts.log":
blockhosts 2.4.0 started: 2009-11-27 10:55:01 BRST
... loaded /etc/hosts.deny, starting counts: blocked 0, watched 2
... loading log file /var/log/auth.log, offset: 27431
... discarding all host entries older than 2009-11-25 10:55:01 BRST
... final counts: blocked 0, watched 3
arquivo "hosts.deny":
#---- BlockHosts Additions
#bh: ip: 192.X.X.X : 4 : 2009-11-27 10:55:01 BRST
#bh: ip: 192.X.X.X : 5 : 2009-11-27 10:50:01 BRST
#bh: ip: 10.X.X.X : 4 : 2009-11-27 10:50:01 BRST
#bh: logfile: /var/log/auth.log
#bh: offset: 30060
#bh: first line:Nov 24 14:55:37 SERVIDOR login[2334]: pam_unix(login:session): session opened for user root by LOGIN(uid=0)
#---- BlockHosts Additions
Esses ips que estão em "hosts.deny" são os ips que eu forcei o login via ssh por mais de 7 vezes. porque não foram bloqueados?
Valeu
cara só uma dúvida, fiz uns testes aqui.. olha meu "/var/log/blockhosts.log":
blockhosts 2.4.0 started: 2009-11-27 10:55:01 BRST
... loaded /etc/hosts.deny, starting counts: blocked 0, watched 2
... loading log file /var/log/auth.log, offset: 27431
... discarding all host entries older than 2009-11-25 10:55:01 BRST
... final counts: blocked 0, watched 3
arquivo "hosts.deny":
#---- BlockHosts Additions
#bh: ip: 192.X.X.X : 4 : 2009-11-27 10:55:01 BRST
#bh: ip: 192.X.X.X : 5 : 2009-11-27 10:50:01 BRST
#bh: ip: 10.X.X.X : 4 : 2009-11-27 10:50:01 BRST
#bh: logfile: /var/log/auth.log
#bh: offset: 30060
#bh: first line:Nov 24 14:55:37 SERVIDOR login[2334]: pam_unix(login:session): session opened for user root by LOGIN(uid=0)
#---- BlockHosts Additions
Esses ips que estão em "hosts.deny" são os ips que eu forcei o login via ssh por mais de 7 vezes. porque não foram bloqueados?
Valeu
[10] Comentário enviado por andrezc em 29/12/2009 - 12:02h
O artigo ficou com uma explicação bem completa, do inicio ao fim.
Outra ferramenta boa para evitar esse tipo de ataque em vários serviços é o Fail2ban, outro dia postei uma dica ensinando a instalar, configurar e usar. Além do SSH, o Fail2ban monitora também os arquivos de log do apache e também tentativas de acesso ao servidor de e-mails (postfix) ou ao servidor FTP.
Ótimo artigo :)
O artigo ficou com uma explicação bem completa, do inicio ao fim.
Outra ferramenta boa para evitar esse tipo de ataque em vários serviços é o Fail2ban, outro dia postei uma dica ensinando a instalar, configurar e usar. Além do SSH, o Fail2ban monitora também os arquivos de log do apache e também tentativas de acesso ao servidor de e-mails (postfix) ou ao servidor FTP.
Ótimo artigo :)
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Atualizando o Passado: Linux no Lenovo G460 em 2025
aaPanel - Um Painel de Hospedagem Gratuito e Poderoso
O macete do Warsaw no Linux Mint e cia
Dicas
Um modo leve de ouvir/ver áudio/vídeo da internet em máquinas pererecas
Resolver algumas mensagens de erro do SSH
Instalar módulo de segurança do Banco do Brasil Warsaw do tipo .run
Tópicos
O que você está ouvindo agora? [2] (188)
warsaw parou de funcionar após atualização do sistema (solução) (10)
Top 10 do mês
-
Xerxes
1° lugar - 74.229 pts -
Fábio Berbert de Paula
2° lugar - 52.031 pts -
Daniel Lara Souza
3° lugar - 18.409 pts -
Mauricio Ferrari
4° lugar - 17.261 pts -
Buckminster
5° lugar - 14.448 pts -
Alberto Federman Neto.
6° lugar - 14.243 pts -
edps
7° lugar - 13.831 pts -
Diego Mendes Rodrigues
8° lugar - 13.015 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 12.532 pts -
Andre (pinduvoz)
10° lugar - 12.465 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
