fail2ban_banear intentos fallidos
Fail2ban
Bloquea ataques por fuerza bruta. Es una aplicación que nos permite bloquear ciertas direcciones cuyos intentos fallidos de conexión sean superiores a un número determinado por el usuario. Básicamente consiste en leer los log’s y buscar patrones comunes como el número de veces que se intenta conectar un usuario de forma fallida (esto se encuentra en /var/log/auth.log)
# apt-get install fail2ban
Se crearán los siguientes ficheros en /etc/fail2ban:
fail2ban.conf
jail.conf
action.d
filter.d
El fichero /etc/fail2ban/fail2ban.conf se puede dejar como está. Esencialmente, nos pide el tipo de mensajes que mostrará (error, warn, info o debug) en el fichero /var/log/fail2ban.log y el fichero socket.
Fail2ban se ejecuta como demonio y su configuración se encuentra en el archivo /etc/fail2ban/jail.conf. Éste archivo se divide en secciones que siguen el siguiente esquema:
[servicio]
enabled = true/false (si la regla estará activa o no)
port = ssh,sftp,http… (puerto del servicio)
filter = sshd (parámetro de búsqueda en el fichero de log)
logpath = /var/log/auth.log (log donde realizaremos la búsqueda)
maxretry = 4 (conexiones permitidas antes de bloquear la ip)
bantime = 9000 (segundos que permanecerá baneada la ip)
Ejemplo: Para banear durante 20 minutos las ip’s, que realizan 4 conexiones fallidas a nuestro sistema por apache:
[apache]
enabled = true
port = http,https
filter = apache-auth
logpath = /var/log/apache2/error.log
maxretry = 4
bantime = 12000
ignoreip = 127.0.0.1 #lista de ips permitidas siempre
Cualquier modificación del archivo de configuración implica reiniciar el servicio:
# /etc/init.d/fail2ban restart
Para ver las ip’s actualmente bloqueadas:
# iptables -L fail2ban-ssh
