Fail2ban - Aprendendo a instalar e configurar

Publicado por Narcochaos em 14/04/2014

[ Hits: 31.025 ]

3 0

Denuncie Favoritos Indicar Impressora

Fail2ban - Aprendendo a instalar e configurar

Nesta dica, mostrarei como instalar e configurar o Fail2ban no Ubuntu e distribuições derivadas.

Fail2ban é um framework escrito em Python, que pode reduzir as chances de um ataque de Wordlist bem sucedido.

Neste exemplo, vamos mostrar apenas com o serviço sshd. Ele possui configurações padrão com filtros para sshd, Apache, lighttpd, vsftpd, qmail, Postfix e Courier Mail Server.

Instalando no Ubuntu e distros derivadas

Logado como root, digite no terminal:

# apt-get install fail2ban

Configurações

Copie o arquivo de configuração em /etc/fail2ban/ do arquivo jail.conf para jail.local:

# cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Depois, edite o arquivo jail.local:

# vi /etc/fail2ban/jail.local

Com conteúdo:

# "Ignoreip" pode ser um endereço IP, uma máscara de CIDR ou um host DNS
ignoreip = 127.0.0.1 / 8
bantime = 3600
maxretry = 3

Notificações de e-mail

Encontre a linha que diz destmail e adicione seu endereço de e-mail:

destemail = seu_email@email.com

Escolha ações padrão. Encontre a linha:

action = %(action_)s

E mude para:

action = %(action_mw)s

Neste caso, usar o Sendmail:

# Email ação. Desde 0.8.1 fail2ban upstream usa sendmail
# MTA para a discussão. Alterar parâmetro de configuração mta ao email
# Se você quiser reverter para 'mail' convencional.
mta = sendmail

Ativar SSH com Fail2ban

Localize a seção ssh no mesmo arquivo, e ajuste a sua necessidade:

[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

Feito isso, reinicie o Fail2ban para aplicar essas configurações:

# service fail2ban restart

Vamos tentar acessar esse servidor via SSH, com as informações incorretas três vezes. Ele enviará um e-mail de notificação e não poderemos acessar o servidor via SSH pelo período de uma hora, com o mesmo usuário.

Fonte: Install Fail2Ban On Ubuntu Server 13.04/13.10 « Unixmen

Outras dicas deste autor

Instalando tcpdump no DD-WRT

IPtables Blacklist Script

Verificador Ortográfico e Gramatical no LibreOffice/OpenOffice

Leitura recomendada

Instalando codecs e players não-livres no Debian GNU/Linux

Linux + Gnome: Prevenindo alunos do laboratório de mudar as configurações de desktop

Mudando senha de root

Instalação do Firefox 4 RC no Debian Squeeze

Particionamento no GNU/Linux

Comentários

[1] Comentário enviado por henriquesousab em 09/07/2015 - 10:03h

O parâmetro ignoreip = serve para adicionar Ips e redes em whitelist para que o fail2ban não bloqueie mesmo q o usuário erre varias vezes a senha.

1 0

[2] Comentário enviado por chrorius em 19/02/2021 - 17:41h

Como posso bloquear UDP? Estou recebendo ataques na porta, mas não estou conseguindo.

Uso Linux ubunt 20 - Fail2ban

0 0