Бормотухи.НЕТ

Вернуться   Бормотухи.НЕТ > Компьютеры > Операционные системы > Linux
Расширенный поиск

Ответ
 
Опции темы Поиск в этой теме
Старый 17.06.2010, 22:25 Вверх   #1
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
Хорошо Помогите разобраться с установкой Fail2ban

На одном из форумов о линухах прочитал о такой замечательной программулине как Fail2ban, которая работает как надстройка для iptables. Если говорить в кратце - то ее суть заключается в том что Fail2ban может читать логи системы и находить записи о попытке авторизироваться на сервере по какому либо протоколу, а так же при повторении ошибок авторизации может автоматически банить IP ломящегося кулхацкера на срок, указанный в кофигурации Fail2ban. Я считаю что данная примочка просто необходима любому серверу который подключен к интернету, т.к. школяров и любителей попробовать свои силы в качестве взломщика у нас хоть отбавляй. А так он бан на автопилоте схватит и успокоится.

Извиняюсь за лирическое отступление от темы, но проблема пока что в установке данной программулины. Что то не могу понять как её поставить. Поставить пытаюсь на нэтбук по протоколу SSH (т.е. пока что тренеруюсь на кроликах, если прокатит поставлю в наш сервак).

Так же нагел материалы по теме, но про устновку там ничего нет. Кого интересует - могут посмотреть это: http://www.linux16.net/node/267
  Ответить с цитированием
Старый 17.06.2010, 22:35 Вверх   #2
Модератор
 
Аватар для elvis75
elvis75 вне форума
Доп. информация
По умолчанию

Serberg, а в терминале набери:
Код:
sudo apt-get install fail2ban
У меня установилось за 15 секунд
  Ответить с цитированием
Cказали cпасибо:
Старый 17.06.2010, 22:41 Вверх   #3
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

elvis75, не поверишь. Тоже самое писал проде и нифига не ставил. Было не удалось найти пакет....

Сейчас поставил, вроде все пучком встало:

Код:
Last login: Thu Jun 17 17:38:45 2010 from 192.168.1.100
serberg@serberg-book-server:~$ sudo apt-get install fail2ban
[sudo] password for serberg:
Чтение списков пакетов... Готово
Построение дерева зависимостей
Чтение информации о состоянии... Готово
Предлагаемые пакеты:
  python-gamin mailx
НОВЫЕ пакеты, которые будут установлены:
  fail2ban
обновлено 0, установлено 1 новых пакетов, для удаления отмечено 0 пакетов, и 157 пакетов не обновлено.
Необходимо скачать 96,0kБ архивов.
После данной операции, объём занятого дискового пространства возрастёт на 676kB.
Получено:1 http://ru.archive.ubuntu.com/ubuntu/ lucid/universe fail2ban 0.8.4-1ubuntu1 [96,0kB]
Получено 96,0kБ за 5с (17,4kБ/c)
Выбор ранее не выбранного пакета fail2ban.
(Чтение базы данных ... на данный момент установлено 128652 файлов и каталогов.)
Распаковывается пакет fail2ban (из файла .../fail2ban_0.8.4-1ubuntu1_all.deb)...
Обрабатываются триггеры для man-db ...
Обрабатываются триггеры для ureadahead ...
ureadahead will be reprofiled on next reboot
Настраивается пакет fail2ban (0.8.4-1ubuntu1) ...

Обрабатываются триггеры для python-central ...
  Ответить с цитированием
Старый 17.06.2010, 22:47 Вверх   #4
Модератор
 
Аватар для elvis75
elvis75 вне форума
Доп. информация
По умолчанию

Serberg, ты название пакета наверно с заглавной буквы писал, в Linux это имеет огромное значение, fail2ban, Fail2ban, fail2baN это 3 разных файла, все 3 могут находиться одновременно в одной директории.

Да, судя по этой строчке:
ureadahead will be reprofiled on next reboot
Нужно ребутнуться.
  Ответить с цитированием
Старый 17.06.2010, 22:57 Вверх   #5
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

elvis75, сейчас перезапущу ноут. Я посмотрел конфигурационный файл по умолчанию. Очень даже интересно.

Код:
serberg@serberg-book-server:~$ sudo grep -v  '^#' /etc/fail2ban/jail.conf


[DEFAULT]

ignoreip = 127.0.0.1
bantime  = 600
maxretry = 3

backend = polling

destemail = root@localhost


banaction = iptables-multiport

mta = sendmail

protocol = tcp


action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]

action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
              %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s]

action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
               %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s]

action = %(action_)s




[ssh]

enabled = true
port    = ssh
filter  = sshd
logpath  = /var/log/auth.log
maxretry = 6

[pam-generic]

enabled = false
filter  = pam-generic
port = all
banaction = iptables-allports
port     = anyport
logpath  = /var/log/auth.log
maxretry = 6

[xinetd-fail]

enabled   = false
filter    = xinetd-fail
port      = all
banaction = iptables-multiport-log
logpath   = /var/log/daemon.log
maxretry  = 2


[ssh-ddos]

enabled = false
port    = ssh
filter  = sshd-ddos
logpath  = /var/log/auth.log
maxretry = 6


[apache]

enabled = false
port    = http,https
filter  = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 6

[apache-multiport]

enabled   = false
port      = http,https
filter    = apache-auth
logpath   = /var/log/apache*/*error.log
maxretry  = 6

[apache-noscript]

enabled = false
port    = http,https
filter  = apache-noscript
logpath = /var/log/apache*/*error.log
maxretry = 6

[apache-overflows]

enabled = false
port    = http,https
filter  = apache-overflows
logpath = /var/log/apache*/*error.log
maxretry = 2


[vsftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = vsftpd
logpath  = /var/log/vsftpd.log
maxretry = 6


[proftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = proftpd
logpath  = /var/log/proftpd/proftpd.log
maxretry = 6


[wuftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = wuftpd
logpath  = /var/log/auth.log
maxretry = 6



[postfix]

enabled  = false
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log


[couriersmtp]

enabled  = false
port     = smtp,ssmtp
filter   = couriersmtp
logpath  = /var/log/mail.log



[courierauth]

enabled  = false
port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = courierlogin
logpath  = /var/log/mail.log


[sasl]

enabled  = false
port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = sasl
logpath  = /var/log/mail.log





[named-refused-udp]

enabled  = false
port     = domain,953
protocol = udp
filter   = named-refused
logpath  = /var/log/named/security.log

[named-refused-tcp]

enabled  = false
port     = domain,953
protocol = tcp
filter   = named-refused
logpath  = /var/log/named/security.log
Получается что по умолчанию включена защита от брута по [ssh], а хотелось бы активировать еще и ssh-ddos, apache и FTP. Как поправить файл конфигурации ?
  Ответить с цитированием
Старый 17.06.2010, 23:16 Вверх   #6
Модератор
 
Аватар для elvis75
elvis75 вне форума
Доп. информация
По умолчанию

Цитата Сообщение от Serberg Посмотреть сообщение
а хотелось бы активировать еще и ssh-ddos, apache и FTP. Как поправить файл конфигурации ?
Судя по всему нужно изменить ключ enabled = false на enabled = true в нужной секции конфига,

Код:
[ssh-ddos]

enabled = false
port    = ssh
filter  = sshd-ddos
logpath  = /var/log/auth.log
maxretry = 6
Превращаем в
Код:
[ssh-ddos]

enabled = true
port    = ssh
filter  = sshd-ddos
logpath  = /var/log/auth.log
maxretry = 6
и получаем активацию защиты от ssh-ddos с другими опциями поступаем аналогично.
  Ответить с цитированием
Старый 17.06.2010, 23:50 Вверх   #7
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

elvis75, я это понял сразу. Вопрос то: как подрихтовать файл конфига через терминал ?
  Ответить с цитированием
Старый 18.06.2010, 15:34 Вверх   #8
Уважаемая личность
 
Аватар для FreeD
FreeD вне форума
Доп. информация
По умолчанию

sudo nano /etc/fail2ban/jail.conf

если nano стоит
  Ответить с цитированием
Cказали cпасибо:
Старый 18.06.2010, 15:37 Вверх   #9
Модератор
 
Аватар для elvis75
elvis75 вне форума
Доп. информация
По умолчанию

Цитата Сообщение от FreeD Посмотреть сообщение
если nano стоит
ну а если не стоит, то поставить
Код:
sudo apt-get install nano
Можно поставить MC
Код:
sudo apt-get install mc
Запускаем mc от root
Код:
sudo mc
Находим нужный файл и жмем F4, правим, сохраняем.

Последний раз редактировалось elvis75; 18.06.2010 в 15:42..
  Ответить с цитированием
Cказали cпасибо:
Старый 26.06.2010, 00:20 Вверх   #10
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

Ну вот в общем результаты трудов:

Код:
2010-06-24 23:09:15,670 fail2ban.actions: WARNING [ssh] Ban 119.188.7.158
2010-06-25 09:09:16,434 fail2ban.actions: WARNING [ssh] Unban 119.188.7.158
2010-06-25 20:41:30,147 fail2ban.actions: WARNING [pam-generic] Ban 119.188.7.159
2010-06-25 20:41:32,131 fail2ban.actions: WARNING [ssh] Ban 119.188.7.159
2010-06-26 01:52:37,149 fail2ban.actions: WARNING [pam-generic] Ban 109.123.78.219
2010-06-26 01:52:40,526 fail2ban.actions: WARNING [ssh] Ban 109.123.78.219
2010-06-26 03:00:52,391 fail2ban.actions: WARNING [pam-generic] Ban 82.204.191.94
2010-06-26 03:00:54,223 fail2ban.actions: WARNING [ssh] Ban 82.204.191.94
2010-06-26 04:45:35,609 fail2ban.actions: WARNING [ssh] Ban 89.97.198.3
2010-06-26 06:41:30,959 fail2ban.actions: WARNING [pam-generic] Unban 119.188.7.159
2010-06-26 06:41:32,961 fail2ban.actions: WARNING [ssh] Unban 119.188.7.159
2010-06-26 07:24:18,150 fail2ban.actions: WARNING [ssh] Ban 123.15.41.98
2010-06-26 11:52:37,544 fail2ban.actions: WARNING [pam-generic] Unban 109.123.78.219
2010-06-26 11:52:40,565 fail2ban.actions: WARNING [ssh] Unban 109.123.78.219
2010-06-26 13:00:53,311 fail2ban.actions: WARNING [pam-generic] Unban 82.204.191.94
2010-06-26 13:00:54,556 fail2ban.actions: WARNING [ssh] Unban 82.204.191.94
2010-06-26 14:45:36,158 fail2ban.actions: WARNING [ssh] Unban 89.97.198.3
2010-06-26 15:44:46,604 fail2ban.actions: WARNING [ssh] Ban 189.111.118.129
2010-06-26 15:54:43,324 fail2ban.actions: WARNING [ssh] Ban 84.16.224.39
2010-06-26 16:42:51,910 fail2ban.actions: WARNING [pam-generic] Ban 91.189.123.230
2010-06-26 16:42:53,919 fail2ban.actions: WARNING [ssh] Ban 91.189.123.230
2010-06-26 17:24:19,037 fail2ban.actions: WARNING [ssh] Unban 123.15.41.98
2010-06-27 00:48:01,474 fail2ban.actions: WARNING [ssh] Ban 119.147.170.13
2010-06-27 01:44:47,120 fail2ban.actions: WARNING [ssh] Unban 189.111.118.129
2010-06-27 01:54:43,927 fail2ban.actions: WARNING [ssh] Unban 84.16.224.39
2010-06-27 02:42:52,502 fail2ban.actions: WARNING [pam-generic] Unban 91.189.123.230
2010-06-27 02:42:54,493 fail2ban.actions: WARNING [ssh] Unban 91.189.123.230
Заработало )

Последний раз редактировалось Serberg; 27.06.2010 в 21:00..
  Ответить с цитированием
Cказали cпасибо:
Ответ


Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
[Вопрос] Помогите разобраться в Атач превью donavi vBulletin 4.x 1 05.03.2012 12:57
[Вопрос] Помогите разобраться с download2 Syfon vBulletin 3.х 3 12.01.2011 17:02
помогите разобраться в выплатами Depositfiles Evgen93 Системы электронных денежных средств 7 24.12.2010 14:45
[Вопрос] Помогите разобраться с MIDlet dds Телефоны, смартфоны, комуникаторы, КПК, GPS 0 17.12.2010 15:57
Помогите разобраться в memtest 86 v 3.5 wowanezz Hardware и компьютерная периферия 2 24.04.2009 18:16


Текущее время: 02:02. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot
 

Время генерации страницы 0.11964 секунды с 12 запросами