Acerca de Fail2Ban:
Fail2Ban es una aplicación basada en la seguridad . Se utiliza para proteger su SSH y FTP de conexiones no autorizadas. Fail2ban analiza los archivos de registro (por ejemplo, /var/log/apache/error_log ) y prohibir las IP que muestren signos maliciosos:demasiadas fallas de contraseña, búsqueda de exploits, etc.
Instalando Fail2Ban:
Para instalar Fail2Ban, se requiere habilitar el repositorio EPEL, porque Fail2Ban no está disponible desde CentOS. Entonces comience descargando el repositorio EPEL:
# rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpmInstale Fail2Ban usando el comando yum:
# yum install fail2ban
Configuraciones básicas para la configuración de Fail2Ban:
El archivo de configuración predeterminado de Fail2Ban se encuentra en etc/fail2ban/jail.conf. Sin embargo, el trabajo de configuración no debe realizarse en ese archivo y, en su lugar, debemos hacer una copia local del mismo.
# cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.localDespués de copiar el archivo, puede realizar todos los cambios en el nuevo archivo jail.local. Muchos de los posibles servicios que pueden necesitar protección ya están en el archivo. Cada uno está ubicado en su propia sección, configurado y apagado.
Abra el archivo jail.local en el modo de edición:
# vim /etc/fail2ban/jail.localPuede ver la sección predeterminada a continuación.
[DEFECTO]
# “ignoreip” puede ser una dirección IP, una máscara CIDR o un servidor DNS. Fail2ban no
# prohibirá un host que coincida con una dirección en esta lista. Se pueden
# definir varias direcciones usando un separador de espacios.
ignoreip =127.0.0.1
# “bantime” es la cantidad de segundos que un host está baneado.
bantime =3600
# Un host está prohibido si ha generado "maxretry" durante el último "findtime"
# segundos.
findtime =600
# “maxretry” es el número de fallas antes de que un host sea baneado.
maxretry =3
Escriba su dirección IP personal en la línea ignoreip . Puedes separar cada dirección con un espacio. Ignorar IP le permite incluir en la lista blanca ciertas direcciones IP y asegurarse de que no estén bloqueadas de su VPS. Incluir su dirección garantizará que no se le excluya accidentalmente de su propio servidor privado virtual.
El siguiente paso es decidir un bantime , la cantidad de segundos que un host estaría bloqueado del servidor si se descubre que viola alguna de las reglas. Esto es especialmente útil en el caso de los bots, que una vez prohibidos, simplemente pasarán al siguiente objetivo. El valor predeterminado es de 10 minutos; puede aumentarlo a una hora (o más) si lo desea.
Maxreintentar es la cantidad de intentos de inicio de sesión incorrectos que un host puede tener antes de ser baneado por el tiempo de baneo.
Findtime se refiere a la cantidad de tiempo que un host tiene para iniciar sesión. La configuración predeterminada es de 10 minutos; esto significa que si un anfitrión intenta, y falla, iniciar sesión más de la cantidad máxima de intentos en los 10 minutos designados, será prohibido.
Configure las secciones ssh-ipables en jail.local:
Después de la configuración básica en el archivo conf, puede encontrar la sección para SSH [ssh-iptables], un poco más abajo en la configuración, y ya está configurada y activada.
[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=root, [email protected]]
logpath = /var/log/secure
maxretry = 5 Proteja su servidor FTP utilizando Fail2Ban:
[proftpd-iptables]
habilitado = falso
filtro = proftpd
acción = iptables[name=ProFTPD, port=ftp, protocol=tcp]
sendmail-whois[name=ProFTPD, [email protected]]
ruta de registro = /var/log/proftpd/proftpd.log
maxretry =6
Habilitado: Cuando se establece en "verdadero", significa que la protección está activada.
Filtro – Establecido de forma predeterminada en sshd, se refiere al archivo de configuración que contiene las reglas que fail2banuses para encontrar coincidencias.
Acción: Describe los pasos que tomará fail2ban para prohibir una dirección IP coincidente.
Puede cambiar el valor de "destino" y "remitente" en [ssh-iptables] como su identificación y la identificación de fail2ban. Por ejemplo:
destino =tú@ejemplo.com, remitente [email protected]
Ruta de registro: Hace referencia a la ubicación del registro que rastreará fail2ban.
El reintento máximo dentro de la sección SSH tiene la misma definición que la opción predeterminada. Sin embargo, si ha habilitado varios servicios y desea tener valores específicos para cada uno, puede establecer aquí la nueva cantidad máxima de reintentos para SSH.
Reinicio de los servicios de Fail2Ban:
Una vez que haya realizado los cambios en el archivo de configuración de fail2ban, asegúrese siempre de reiniciar el servicio Fail2Ban.
# servicio fail2ban reinicioVerificación de las reglas de IPtables de Fail2Ban:
Para verificar reglas de fail2ban iptales, ingrese el siguiente comando:
# iptables -L
Ahora, Fail2Ban se instaló con éxito en su CentOS.