Tag Archives: blokowanie ip

Fail2ban – automatyczne banowanie nieproszonych gości

Fail2ban jest narzędziem pomagającym zabezpieczyć serwery działające w oparciu o uniksopodobne systemy operacyjne (dostępne paczki na większość dystrybucji Linuksa oraz FreeBSD i Mac OS X). Po krótce fail2ban skanuje logi (np logi serwera ssh lub ftp), wyszukując błędy autentykacji, po czym wykonuje update ustawień firewalla żeby odrzucał cały ruch z danego IP.
Aplikacja jest napisana w Pythonie, blokowanie odbywa się poprzez dodanie reguł do Iptables lub do /etc/hosts.deny.

System bazowy: Debian Lenny, na pokładzie Iptables i Python, sshd, vsftpd

Instalacja z paczek:
apt-get install fail2ban

Konfiguracja:
Znajduje się w /etc/fail2ban, zalecane skopiowanie jail.conf > jail.local i ustawienie danych (np wyjątków nieblokowanych IP), które nie zostaną zmienione w przypadku przypadkowej podmiany podczas aktualizacji wersji.

U mnie /etc/jail2ban/jail.local wygląda tak:

[DEFAULT]

# “ignoreip” can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1 192.168.0.0/24
bantime = 86400
maxretry = 5

[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5

[vsftpd]
enabled = true
port = ftp,ftp-data,ftps,ftps-data
filter = vsftpd
logpath = /var/log/vsftpd.log
maxretry = 5

Następnie wykonujemy restart usługi:
/etc/init.d/fail2ban restart
… i mamy działającą maszynkę do banowania.

Log znajduje się w /var/log/fail2ban.log, domyślne logi są w statusach INFO, natomiast banowanie jest zapisywanie jako WARNING

2009-11-03 11:42:06,382 fail2ban.actions: WARNING [ssh] Ban 78.93.50.11

Akurat trafił mi się chętny do zablokowania 🙂

Wyświetlenie reguł:
iptables -L

(....cut....)
Chain fail2ban-ssh (1 references)
target prot opt source destination
DROP all -- 78.93.50.11 anywhere
RETURN all -- anywhere anywhere

Chain fail2ban-vsftpd (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

W przypadku konieczności ręcznego odbanowania IP piszemy:
iptables -D fail2ban-ssh 1 (gdzie 1 – to numer linii w danej sekcji)

I to by było na tyle. Powodzenia!