Fail2ban – automatyczne banowanie nieproszonych gości

Fail2ban jest narzędziem pomagającym zabezpieczyć serwery działające w oparciu o uniksopodobne systemy operacyjne (dostępne paczki na większość dystrybucji Linuksa oraz FreeBSD i Mac OS X). Po krótce fail2ban skanuje logi (np logi serwera ssh lub ftp), wyszukując błędy autentykacji, po czym wykonuje update ustawień firewalla żeby odrzucał cały ruch z danego IP.
Aplikacja jest napisana w Pythonie, blokowanie odbywa się poprzez dodanie reguł do Iptables lub do /etc/hosts.deny.

System bazowy: Debian Lenny, na pokładzie Iptables i Python, sshd, vsftpd

Instalacja z paczek:
apt-get install fail2ban

Konfiguracja:
Znajduje się w /etc/fail2ban, zalecane skopiowanie jail.conf > jail.local i ustawienie danych (np wyjątków nieblokowanych IP), które nie zostaną zmienione w przypadku przypadkowej podmiany podczas aktualizacji wersji.

U mnie /etc/jail2ban/jail.local wygląda tak:

[DEFAULT]

# “ignoreip” can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1 192.168.0.0/24
bantime = 86400
maxretry = 5

[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5

[vsftpd]
enabled = true
port = ftp,ftp-data,ftps,ftps-data
filter = vsftpd
logpath = /var/log/vsftpd.log
maxretry = 5

Następnie wykonujemy restart usługi:
/etc/init.d/fail2ban restart
… i mamy działającą maszynkę do banowania.

Log znajduje się w /var/log/fail2ban.log, domyślne logi są w statusach INFO, natomiast banowanie jest zapisywanie jako WARNING

2009-11-03 11:42:06,382 fail2ban.actions: WARNING [ssh] Ban 78.93.50.11

Akurat trafił mi się chętny do zablokowania 🙂

Wyświetlenie reguł:
iptables -L

(....cut....)
Chain fail2ban-ssh (1 references)
target prot opt source destination
DROP all -- 78.93.50.11 anywhere
RETURN all -- anywhere anywhere

Chain fail2ban-vsftpd (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

W przypadku konieczności ręcznego odbanowania IP piszemy:
iptables -D fail2ban-ssh 1 (gdzie 1 – to numer linii w danej sekcji)

I to by było na tyle. Powodzenia!

Apache2 – mod_bw – przycinanie ruchu

W erze udostępniania wszystkiego i wszystkim przez użyszkodników postanowiłem trochę poograniczać ruch wychodzący z Apache.
Okazało się że bardzo łatwo można to zrobić przy wykorzystaniu modułu mod_bw dla Apache2.

Za dystrybucję bazową posłużył Debian Lenny.

Instalacja z paczek:
apt-get install libapache2-mod-bw && /etc/init.d/apache2 restart

Aktywacja modułu:
a2enmod bw && /etc/init.d/apache2 restart

Ustawienie polityki dla przykładowej domeny:
#ustawiam 100KiB/sek dla stronki www.mojasuperfajnadomena.pl
<Virtualhost *>
BandwidthModule On
ForceBandWidthModule On
Bandwidth all 102400
MinBandwidth all -1
Servername www.mojasuperfajnadomena.pl
</Virtualhost>

Dodatkowo można ograniczyć transfery dla poszczególnych typów plików:
LargeFileLimit .avi 1 200000
LargeFileLimit .mpg 1 200000
LargeFileLimit .exe 1 200000
LargeFileLimit .rar 1 200000
LargeFileLimit .zip 1 200000

…wszystko zależy od fantazji administratora 😉

Poniżej kilka przykładów z dokumentacji:

Limit every user to a max of 10Kb/s on a vhost :


BandwidthModule On
ForceBandWidthModule On
Bandwidth all 10240
MinBandwidth all -1
Servername www.example.com

Limit al internal users (lan) to 1000 kb/s with a minimum of 50kb/s , and
files greater than 500kb to 50kb/s.


BandwidthModule On
ForceBandWidthModule On
Bandwidth all 1024000
MinBandwidth all 50000
LargeFileLimit * 500 50000
Servername www.example.com

Limit avi and mpg extensions to 20kb/s.


BandwidthModule On
ForceBandWidthModule On
LargeFileLimit .avi 1 20000
LargeFileLimit .mpg 1 20000
Servername www.example.com

Using it the “right” way, with output filter by mime type (for text)
to 5kb/s:


BandwidthModule On
AddOutputFilterByType MOD_BW text/html text/plain
Bandwidth all 5000
Servername www.example.com

Więcej info na stronie projektu http://bwmod.sourceforge.net/.

Powodzenia w ograniczaniu.