Fail2ban - Aprendendo a instalar e configurar

Publicado por Narcochaos em 14/04/2014

[ Hits: 30.662 ]

3 0

Denuncie Favoritos Indicar Impressora

Fail2ban - Aprendendo a instalar e configurar

Nesta dica, mostrarei como instalar e configurar o Fail2ban no Ubuntu e distribuições derivadas.

Fail2ban é um framework escrito em Python, que pode reduzir as chances de um ataque de Wordlist bem sucedido.

Neste exemplo, vamos mostrar apenas com o serviço sshd. Ele possui configurações padrão com filtros para sshd, Apache, lighttpd, vsftpd, qmail, Postfix e Courier Mail Server.

Instalando no Ubuntu e distros derivadas

Logado como root, digite no terminal:

# apt-get install fail2ban

Configurações

Copie o arquivo de configuração em /etc/fail2ban/ do arquivo jail.conf para jail.local:

# cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Depois, edite o arquivo jail.local:

# vi /etc/fail2ban/jail.local

Com conteúdo:

# "Ignoreip" pode ser um endereço IP, uma máscara de CIDR ou um host DNS
ignoreip = 127.0.0.1 / 8
bantime = 3600
maxretry = 3

Notificações de e-mail

Encontre a linha que diz destmail e adicione seu endereço de e-mail:

destemail = seu_email@email.com

Escolha ações padrão. Encontre a linha:

action = %(action_)s

E mude para:

action = %(action_mw)s

Neste caso, usar o Sendmail:

# Email ação. Desde 0.8.1 fail2ban upstream usa sendmail
# MTA para a discussão. Alterar parâmetro de configuração mta ao email
# Se você quiser reverter para 'mail' convencional.
mta = sendmail

Ativar SSH com Fail2ban

Localize a seção ssh no mesmo arquivo, e ajuste a sua necessidade:

[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

Feito isso, reinicie o Fail2ban para aplicar essas configurações:

# service fail2ban restart

Vamos tentar acessar esse servidor via SSH, com as informações incorretas três vezes. Ele enviará um e-mail de notificação e não poderemos acessar o servidor via SSH pelo período de uma hora, com o mesmo usuário.

Fonte: Install Fail2Ban On Ubuntu Server 13.04/13.10 « Unixmen

Outras dicas deste autor

Verificador Ortográfico e Gramatical no LibreOffice/OpenOffice

IPtables Blacklist Script

Instalando tcpdump no DD-WRT

Leitura recomendada

Instalação fácil do PHP com Oracle no Linux

dhcpstatus , listar dhcp leases no Slackware ou sua distro favorita

Iptables Log Analyzer

Shell, algumas dicas para iniciantes

Alguns efeitos do Gnome para quem não tem uma boa placa de vídeo

Comentários

[1] Comentário enviado por henriquesousab em 09/07/2015 - 10:03h

O parâmetro ignoreip = serve para adicionar Ips e redes em whitelist para que o fail2ban não bloqueie mesmo q o usuário erre varias vezes a senha.

1 0

[2] Comentário enviado por chrorius em 19/02/2021 - 17:41h

Como posso bloquear UDP? Estou recebendo ataques na porta, mas não estou conseguindo.

Uso Linux ubunt 20 - Fail2ban

0 0