Главная > Пакеты Debian, Статьи > Fail2ban — защита от брутфорса ( подбора пароля).

Fail2ban — защита от брутфорса ( подбора пароля).

Fail2ban — защита от брутфорса ( подбора пароля) в Ubuntu или Debian.

Fail2ban — это инструмент, который отслеживает в log-файлах попытки обратится к сервисам, таким, как SSH, FTP, SMTP, HTTP и другим, и если находит постоянно повторяющиеся неудачные попытки авторизации с одного и того же IP-адреса или хоста, fail2ban блокирует дальнейшие попытки с этого IP-адреса/хоста, с помощью правила iptables(ipfw) или host.deny.
$ apt-get install fail2ban
По умолчанию мы уже получаем намного более защищенный ssh. После 3х попыток неправильного ввода пароля с одного ip адреса — он отправляется в бан. Тут же есть уже готовые примеры для ssh, exim, postfix, cyrus-imap, apache, lighttpd, named. Рассмотрим более детально некоторые параметры.
Основная часть настроек fail2ban хранится в конфигурационном файле /etc/fail2ban/jail.conf
$ nano /etc/fail2ban/jail.conf

В разделе [DEFAULT] содержатся настройки блокировки по-умолчанию:

# ignoreip - IP-адрес, который не будет блокироваться в любом случае. Здесь можно указать IP-адрес, CIDR-маску или же имя DNS-хоста;
ignoreip = 127.0.0.1 195.168.100.27 216.127.158.23
# bantime - время в секундах, на которое будет блокироваться доступ,  -1 — что значит «навечно»;
bantime = 600
# maxretry - количество неудачных попыток авторизации, после которых хост будет заблокирован на bantime секунд;
maxretry = 3
# destemail - email-адрес, на который будут отсылаться уведомления о блокировании хостов.
destemail = root@localhost
# mta через что отправлять письма о банах, пишем тут тот MTA, который стоит у вас на сервере Exim/sendmail/etc;
mta = sendmail 
.. ...
# рассмотрим одну секцию
[ssh]
# включаем сервис
enabled = true
port    = ssh
filter  = sshd
# какой лог парсить, на тот случай, если вы изменяли дефолтный путь
logpath  = /var/log/auth.log
# количество попыток, после которых банят.
maxretry = 4
....

Не забываем перезапускать fail2ban после изменения конфигурации командой:
$ /etc/init.d/fail2ban restart

Читаем еще:

  1. Пока что нет комментариев.
  1. Пока что нет уведомлений.
Необходимо войти на сайт, чтобы написать комментарий.
#

//