lunes, 3 de octubre de 2011

FAIL2BAN

FAIL2BAN
Fail2ban escanea archivos de logs como [var/log/proftpd/ftp.log] y "banea" las direcciones IP que hacen intentos fallidos de contraseña demasiadas veces (es configurable el numero de veces que cuenta).Para hacer este bloqueo el script usa IPTABLES. Las reglas filtrado o "alarma" pueden ser definidas por nosotros (los adminis) y puede leer varios archivos de log como sshd, Apache, pop3, smnp, Http-auth, etc. Estas reglas no son mas que expresiones regulares, esto quiere decir que si necesitamos algo a medida, lo programamos.

Primer paso: Yo voy a hacerlo de la manera fácil (apt-get install), sin embargo si así lo decaes puedes instalarlo manualmente lo único que tengo para decirte es que este depende de algunas librerías y aplicaciones, podes verlo con mas detalle acá http://packages.debian.org/stable/net/fail2ban.

Tecleamos en terminal: sudo apt-get install fail2ban

Damos que si y veremos que se va a instalar junto a el "whois"

Segundo paso: Ya esta instalado! Ahora hacemos una copia de la configuración para poder configurarla sin temor alguno

Tecleamos: sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Tecleamos: nano /etc/fail3ban/jail.local

Y empezamos a configurar...

[DEFAULT]
#Tiempo del ban en segundos
bantime = 600
#Mail a donde queremos que lleguen los "bans" que se producen
destemail = tumail@gmail.com
#Accion que va arealizar (que medidas tomar)
action = %(action_mwl)s

#Servicio que estamos controlando
[Ssh]
#True para habilitar el control al servicio
enabled = true
#Puerto
port = ssh
#Filtro: Nombre de la expresión regular a ser utilizada para detectar coincidencias. Este nombre #corresponde a '/etc/fail2ban/filter.d', sin la extensión del 'conf.. Por ejemplo: 'filter = sshd' se refiere a '/ #etc/fail2ban/filter.d/sshd.conf.
filter = sshd
#Pat del log a escuchar (en donde se generan los mensajes de fallo de autenticacion)
logpath = /var/log/auth.log
#Numero máximo de intentos
maxretry = 5
----------------- 

Bueno así veremos todos los servicios (proftpd, imap, etc) lo único que tenemos que hacer es pasarle el enabled a true para que empiecen a funcionar.
Saludos

No hay comentarios:

Publicar un comentario