Block Hosts: Bloqueando ataques de força-bruta (brute force) em FTP, SSH e outros

Entenda melhor este tipo de ataque e conheça as principais maneiras de evitá-lo com ajuda da ferramenta Block Hosts.

[ Hits: 41.290 ]

Por: Perfil removido em 17/11/2009


Instalação do Block Hosts



Para descrever a instalação está sendo considerado como base um sistema Debian Linux versão 5.0.3 com Kernel 2.6.26-2-486. Segue abaixo descrição passo-a-passo em 4 itens.

PASSO 1: Faça download do arquivo ZIP da última versão do Block Hosts disponível em:
Hoje a última versão disponível é 2.4.0.

PASSO 2: Instale os pacotes que são requisitos básicos necessários para o funcionamento. São eles:
  • logwatch
  • python
  • python-optcomplete

No Debian, utilize o comando "apt-get install logwatch python python-optcomplete", que irá instalar tudo automaticamente para você. Para outros sistemas, basta adaptar o processo de instalação destes pacotes.

PASSO 3: Edite o arquivo "/etc/hosts.deny" e insira no início do arquivo duas linhas, conforme descrito abaixo:

#---- BlockHosts Additions

#---- BlockHosts Additions

Esta é a marcação de qual parte do arquivo "hosts.deny" o Block Hosts vai inserir suas entradas de bloqueio de IPs.

PASSO 4: Descompacte o arquivo "BlockHosts-2.4.0.zip" ou equivalente à sua versão e acesse o diretório descompactado.

Para executar a instalação, rode o seguinte comando como root:

# python setup.py install --force

Este comando instalará automaticamente todos os arquivos necessários.

Se não ocorreu nenhuma mensagem de erro, a instalação está finalizada! Agora basta configurar.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Instalação do Block Hosts
   3. Configuração e execução do Block Hosts
Outros artigos deste autor

Configurando a impressora Epson C45 no Kurumin

Convertendo MBR para GPT com gdisk

Adaptador Bluetooth no Slackware

Criando aplicação para detectar informações do sistema em Kylix

As novidades do Java 1.5

Leitura recomendada

Servidor de DNS com DNS reverso, DHCP3 e wpad.dat

Servidor Samba "Autoservice"

Passkeys: A Evolução da Autenticação Digital

Nmap - Escaneando sua Rede e Mantendo-a Segura

Replicação com OpenLDAP

  
Comentários
[1] Comentário enviado por magnolinux em 17/11/2009 - 07:31h

Parabens.. otimo artigo...



[2] Comentário enviado por luizvieira em 17/11/2009 - 08:31h

Bom artigo!
Apenas um adendo: uma ferramenta boa pra verificar ataques à serviços é um IDS (Snort, por exemplo).
Valeu!

[3] Comentário enviado por removido em 17/11/2009 - 09:21h

Obrigado pelos comentários! Como nosso amigo Luiz comentou, é muito importante ter um IDS na sua rede também.

[4] Comentário enviado por cleysinhonv em 17/11/2009 - 10:09h

Olá,
Parabéns pelo artigo está bem explicado e isso é importante, fiquei só na dúvida sobre, se os serviços que ele bloqueia é ssh e o FTP são por padrão, ou se se eu quiser adicionar um outro serviço como o faço.
Esse foi para FAVORITOS.

[5] Comentário enviado por removido em 17/11/2009 - 10:52h

Obrigado pelo comentário José Cleydson! Para adicionar outros serviços, você precisa apenas saber lidar com Expressões Regulares. Verifique no arquivo de configuração a diretiva "ALL_REGEXS", nela que são determinados as linhas do LOG que devem ser monitoradas. Por padrão o BlockHosts monitora os serviços ssh, proftpd, vsftpd, pure-ftpd, ftpd-Solaris, ipop3d, dovecot, qpopper, postfix, mas nada impede de você adicionar tantos outros quanto você queira. Boa sorte!

[6] Comentário enviado por grandmaster em 17/11/2009 - 20:15h

Muito bom, guardado também

---
Renato de Castro Henriques
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br

[7] Comentário enviado por valterrezendeeng em 21/11/2009 - 19:21h

Muito bom o Artigo

Parabens !!!



[8] Comentário enviado por jucaetico em 27/11/2009 - 09:29h

Valeu! show esse artigo!

[9] Comentário enviado por jucaetico em 27/11/2009 - 10:01h

cara só uma dúvida, fiz uns testes aqui.. olha meu "/var/log/blockhosts.log":

blockhosts 2.4.0 started: 2009-11-27 10:55:01 BRST
... loaded /etc/hosts.deny, starting counts: blocked 0, watched 2
... loading log file /var/log/auth.log, offset: 27431
... discarding all host entries older than 2009-11-25 10:55:01 BRST
... final counts: blocked 0, watched 3

arquivo "hosts.deny":

#---- BlockHosts Additions
#bh: ip: 192.X.X.X : 4 : 2009-11-27 10:55:01 BRST
#bh: ip: 192.X.X.X : 5 : 2009-11-27 10:50:01 BRST
#bh: ip: 10.X.X.X : 4 : 2009-11-27 10:50:01 BRST

#bh: logfile: /var/log/auth.log
#bh: offset: 30060
#bh: first line:Nov 24 14:55:37 SERVIDOR login[2334]: pam_unix(login:session): session opened for user root by LOGIN(uid=0)

#---- BlockHosts Additions

Esses ips que estão em "hosts.deny" são os ips que eu forcei o login via ssh por mais de 7 vezes. porque não foram bloqueados?

Valeu

[10] Comentário enviado por andrezc em 29/12/2009 - 12:02h

O artigo ficou com uma explicação bem completa, do inicio ao fim.

Outra ferramenta boa para evitar esse tipo de ataque em vários serviços é o Fail2ban, outro dia postei uma dica ensinando a instalar, configurar e usar. Além do SSH, o Fail2ban monitora também os arquivos de log do apache e também tentativas de acesso ao servidor de e-mails (postfix) ou ao servidor FTP.

Ótimo artigo :)


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts