El Login Failure Daemon (LFD) es una parte de la aplicación ConfigServer Security &Firewall (CSF) que está disponible para servidores Linux. Es el firewall que viene preinstalado en cualquier servidor Managed KnownHost y es un producto con el que estamos muy familiarizados. Esta parte particular de la aplicación maneja el seguimiento y el registro de lo que sucede en el servidor y de lo que se debe informar al CSF, en caso de que se requiera alguna acción.
Información de seguimiento como:
- Procesos que se ejecutan durante más de X segundos
- Procesos que utilizan demasiada memoria
- Procesos de usuarios específicos superiores a X permitidos
- Intentos de inicio de sesión no válidos contra SSH, FTP, IMAP, SMTP y más
- Varias otras configuraciones de bloqueo de integraciones como mod_security
En este artículo, lo guiaremos a través de las diferentes configuraciones de LFD dentro de WHM.
Acceso al complemento LFD
Lo primero que querrá hacer es iniciar sesión en su interfaz WHM con su nombre de usuario y contraseña raíz asociados. En segundo lugar, busque la sección "Complementos" como se resalta.
Dentro de la sección "Complementos", verá "ConfigServer Security &Firewall"
Dentro de esta sección, puede hacer clic en la pestaña 'lfd' en la parte superior que le mostrará solo las opciones y configuraciones relacionadas con el demonio de falla de inicio de sesión.
- Estado de lfd
- Reinicio de lfd
- lfd Ignorar archivo
- Visualización de archivos de directorio lfd
- DNS dinámico lfd
- plantillas de alerta lfd
- Archivos de escáner de registro lfd
- Listas de bloqueo de lfd
- Usuarios de Syslog de lfd
Estado lfd
El 'estado de lfd' proporciona los detalles del sistema del 'lfd.service' que se ejecuta en su servidor. Verá si se está ejecutando activamente o no, las entradas de registro recientes al respecto y si el servicio está experimentando problemas o no. es decir; no arranca
Reinicio de lfd
El 'lfd Restart' emite un reinicio del 'lfd.service' que se ejecuta en su servidor. Esto se recomienda después de cualquier tipo de ajuste a la configuración de lfd para garantizar que el servicio se haya actualizado con los nuevos parámetros de configuración.
lfd Ignorar archivo
La sección de ignorar del Daemon de falla de inicio de sesión le permite incluir en la lista blanca cosas como direcciones IP, procesos, directorios, scripts y más. Permite un control detallado sobre lo que no debería ser motivo de preocupación.
- csf.ignorar — Permite ignorar las direcciones IP que experimentan incidentes como fallas de contraseña.
- csf.pignore — Permite ignorar procesos que no deben ser rastreados (como procesos de ejecución prolongada, p. ej., mongod)
- Ruta de ejemplo como 'exe:/usr/local/bin/mongod'
- Usuario de ejemplo como 'usuario:nadie ' que luego ignoraría todos los procesos del usuario none.
- csf.fignore — Permite ignorar directorios en caso de que Directory Watching esté configurado para una ruta de archivo específica
- Requiere coincidencia de patrón de expresión regular de Perl o ruta completa.
- csf.signore — Permite ignorar secuencias de comandos específicas que se ejecutarán a sabiendas (es decir, secuencias de comandos de correo smtp)
- csf.rigore — Permite ignorar las búsquedas DNS inversas si CSF está bloqueando rastreadores (como googlebot, bing, etc.)
- csf.suignore — Permite ignorar a los superusuarios contra la verificación LF_EXPLOIT SUPERUSER.
- csf.migore — Permite que la lista de usuarios y direcciones IP locales sean ignoradas por la verificación RT_LOCALRELAY_ALERT.
- csf.logignore — Permite que LOGSCANNER ignore el uso de expresiones regulares para hacer coincidir los registros
- csf.uidignore — Permite que la función de seguimiento de usuarios ignore la lista de ID de usuario (UID).
Visualización de archivos de directorio lfd
La modificación de este archivo (csf.dirwatch) le permite establecer una lista de archivos y/o directorios que desea observar en busca de cambios. Cualquier modificación realizada en los archivos enumerados enviará una alerta al contacto de notificación en el servidor (generalmente contacto raíz).
DNS dinámico lfd
Todos los dominios enumerados dentro de este archivo (csf.dyndns) se resolverán y permitirán a través del firewall. Esto es útil para aquellas situaciones en las que está utilizando un servicio dyndns como no-ip.com y no desea incluir constantemente su dirección IP en la lista blanca.
Plantillas de alertas de lfd
El demonio de fallas de inicio de sesión proporciona plantillas para cada alerta y notificación de seguimiento que envía con respecto a intentos y fallas de inicio de sesión. Puede editar estas plantillas para eliminar o incluir información que puede o no considerar necesaria. Al hacer clic en el menú desplegable, se proporcionará una lista de los archivos de plantilla.
Archivos de escáner de registro lfd
Este archivo (csf.logfiles) enumera los archivos de registro que desea que LOGSCANNER analice. Si está habilitado, el servicio lfd enviaría un informe periódico basado en lo que se escaneó.
Listas de bloqueo de lfd
Este archivo (csf.blocklists) permite la modificación de listas de bloqueo específicas dentro de lfd/csf. Permitiendo el bloqueo automático de IP dentro de esas listas de bloqueo. es decir; spamhaus, clientes tor, maxmind, etc
Usuarios de Syslog de lfd
Este archivo (csf.syslogusers) permite modificar qué usuarios pueden iniciar sesión en syslog/rsyslog. Los usuarios agregados aquí se agregan al grupo del sistema. Este archivo generalmente no necesita ser tocado.
Conclusión
Administrar la sección Login Failure Daemon desde dentro de WHM no es tan difícil gracias a la interfaz de usuario proporcionada por el desarrollador del complemento. Dado lo que hemos repasado, debe tener una idea general de qué es todo y qué hace cada característica. Esperamos que esto haya sido útil en