|
17.06.2010, 22:25 Вверх | #1 | |||
Коварный тип
|
Помогите разобраться с установкой Fail2ban
На одном из форумов о линухах прочитал о такой замечательной программулине как Fail2ban, которая работает как надстройка для iptables. Если говорить в кратце - то ее суть заключается в том что Fail2ban может читать логи системы и находить записи о попытке авторизироваться на сервере по какому либо протоколу, а так же при повторении ошибок авторизации может автоматически банить IP ломящегося кулхацкера на срок, указанный в кофигурации Fail2ban. Я считаю что данная примочка просто необходима любому серверу который подключен к интернету, т.к. школяров и любителей попробовать свои силы в качестве взломщика у нас хоть отбавляй. А так он бан на автопилоте схватит и успокоится.
Извиняюсь за лирическое отступление от темы, но проблема пока что в установке данной программулины. Что то не могу понять как её поставить. Поставить пытаюсь на нэтбук по протоколу SSH (т.е. пока что тренеруюсь на кроликах, если прокатит поставлю в наш сервак). Так же нагел материалы по теме, но про устновку там ничего нет. Кого интересует - могут посмотреть это: http://www.linux16.net/node/267 |
|||
17.06.2010, 22:41 Вверх | #3 | |||
Коварный тип
|
elvis75, не поверишь. Тоже самое писал проде и нифига не ставил. Было не удалось найти пакет....
Сейчас поставил, вроде все пучком встало: Код:
Last login: Thu Jun 17 17:38:45 2010 from 192.168.1.100 serberg@serberg-book-server:~$ sudo apt-get install fail2ban [sudo] password for serberg: Чтение списков пакетов... Готово Построение дерева зависимостей Чтение информации о состоянии... Готово Предлагаемые пакеты: python-gamin mailx НОВЫЕ пакеты, которые будут установлены: fail2ban обновлено 0, установлено 1 новых пакетов, для удаления отмечено 0 пакетов, и 157 пакетов не обновлено. Необходимо скачать 96,0kБ архивов. После данной операции, объём занятого дискового пространства возрастёт на 676kB. Получено:1 http://ru.archive.ubuntu.com/ubuntu/ lucid/universe fail2ban 0.8.4-1ubuntu1 [96,0kB] Получено 96,0kБ за 5с (17,4kБ/c) Выбор ранее не выбранного пакета fail2ban. (Чтение базы данных ... на данный момент установлено 128652 файлов и каталогов.) Распаковывается пакет fail2ban (из файла .../fail2ban_0.8.4-1ubuntu1_all.deb)... Обрабатываются триггеры для man-db ... Обрабатываются триггеры для ureadahead ... ureadahead will be reprofiled on next reboot Настраивается пакет fail2ban (0.8.4-1ubuntu1) ... Обрабатываются триггеры для python-central ... |
|||
17.06.2010, 22:47 Вверх | #4 | |||
Модератор
|
Serberg, ты название пакета наверно с заглавной буквы писал, в Linux это имеет огромное значение, fail2ban, Fail2ban, fail2baN это 3 разных файла, все 3 могут находиться одновременно в одной директории.
Да, судя по этой строчке: |
|||
17.06.2010, 22:57 Вверх | #5 | |||
Коварный тип
|
elvis75, сейчас перезапущу ноут. Я посмотрел конфигурационный файл по умолчанию. Очень даже интересно.
Код:
serberg@serberg-book-server:~$ sudo grep -v '^#' /etc/fail2ban/jail.conf [DEFAULT] ignoreip = 127.0.0.1 bantime = 600 maxretry = 3 backend = polling destemail = root@localhost banaction = iptables-multiport mta = sendmail protocol = tcp action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s] action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s] %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s] action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s] %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s] action = %(action_)s [ssh] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 6 [pam-generic] enabled = false filter = pam-generic port = all banaction = iptables-allports port = anyport logpath = /var/log/auth.log maxretry = 6 [xinetd-fail] enabled = false filter = xinetd-fail port = all banaction = iptables-multiport-log logpath = /var/log/daemon.log maxretry = 2 [ssh-ddos] enabled = false port = ssh filter = sshd-ddos logpath = /var/log/auth.log maxretry = 6 [apache] enabled = false port = http,https filter = apache-auth logpath = /var/log/apache*/*error.log maxretry = 6 [apache-multiport] enabled = false port = http,https filter = apache-auth logpath = /var/log/apache*/*error.log maxretry = 6 [apache-noscript] enabled = false port = http,https filter = apache-noscript logpath = /var/log/apache*/*error.log maxretry = 6 [apache-overflows] enabled = false port = http,https filter = apache-overflows logpath = /var/log/apache*/*error.log maxretry = 2 [vsftpd] enabled = false port = ftp,ftp-data,ftps,ftps-data filter = vsftpd logpath = /var/log/vsftpd.log maxretry = 6 [proftpd] enabled = false port = ftp,ftp-data,ftps,ftps-data filter = proftpd logpath = /var/log/proftpd/proftpd.log maxretry = 6 [wuftpd] enabled = false port = ftp,ftp-data,ftps,ftps-data filter = wuftpd logpath = /var/log/auth.log maxretry = 6 [postfix] enabled = false port = smtp,ssmtp filter = postfix logpath = /var/log/mail.log [couriersmtp] enabled = false port = smtp,ssmtp filter = couriersmtp logpath = /var/log/mail.log [courierauth] enabled = false port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s filter = courierlogin logpath = /var/log/mail.log [sasl] enabled = false port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s filter = sasl logpath = /var/log/mail.log [named-refused-udp] enabled = false port = domain,953 protocol = udp filter = named-refused logpath = /var/log/named/security.log [named-refused-tcp] enabled = false port = domain,953 protocol = tcp filter = named-refused logpath = /var/log/named/security.log |
|||
17.06.2010, 23:16 Вверх | #6 | |||
Модератор
|
Судя по всему нужно изменить ключ enabled = false на enabled = true в нужной секции конфига,
Код:
[ssh-ddos] enabled = false port = ssh filter = sshd-ddos logpath = /var/log/auth.log maxretry = 6 Код:
[ssh-ddos] enabled = true port = ssh filter = sshd-ddos logpath = /var/log/auth.log maxretry = 6 |
|||
26.06.2010, 00:20 Вверх | #10 | |||
Коварный тип
|
Ну вот в общем результаты трудов:
Код:
2010-06-24 23:09:15,670 fail2ban.actions: WARNING [ssh] Ban 119.188.7.158 2010-06-25 09:09:16,434 fail2ban.actions: WARNING [ssh] Unban 119.188.7.158 2010-06-25 20:41:30,147 fail2ban.actions: WARNING [pam-generic] Ban 119.188.7.159 2010-06-25 20:41:32,131 fail2ban.actions: WARNING [ssh] Ban 119.188.7.159 2010-06-26 01:52:37,149 fail2ban.actions: WARNING [pam-generic] Ban 109.123.78.219 2010-06-26 01:52:40,526 fail2ban.actions: WARNING [ssh] Ban 109.123.78.219 2010-06-26 03:00:52,391 fail2ban.actions: WARNING [pam-generic] Ban 82.204.191.94 2010-06-26 03:00:54,223 fail2ban.actions: WARNING [ssh] Ban 82.204.191.94 2010-06-26 04:45:35,609 fail2ban.actions: WARNING [ssh] Ban 89.97.198.3 2010-06-26 06:41:30,959 fail2ban.actions: WARNING [pam-generic] Unban 119.188.7.159 2010-06-26 06:41:32,961 fail2ban.actions: WARNING [ssh] Unban 119.188.7.159 2010-06-26 07:24:18,150 fail2ban.actions: WARNING [ssh] Ban 123.15.41.98 2010-06-26 11:52:37,544 fail2ban.actions: WARNING [pam-generic] Unban 109.123.78.219 2010-06-26 11:52:40,565 fail2ban.actions: WARNING [ssh] Unban 109.123.78.219 2010-06-26 13:00:53,311 fail2ban.actions: WARNING [pam-generic] Unban 82.204.191.94 2010-06-26 13:00:54,556 fail2ban.actions: WARNING [ssh] Unban 82.204.191.94 2010-06-26 14:45:36,158 fail2ban.actions: WARNING [ssh] Unban 89.97.198.3 2010-06-26 15:44:46,604 fail2ban.actions: WARNING [ssh] Ban 189.111.118.129 2010-06-26 15:54:43,324 fail2ban.actions: WARNING [ssh] Ban 84.16.224.39 2010-06-26 16:42:51,910 fail2ban.actions: WARNING [pam-generic] Ban 91.189.123.230 2010-06-26 16:42:53,919 fail2ban.actions: WARNING [ssh] Ban 91.189.123.230 2010-06-26 17:24:19,037 fail2ban.actions: WARNING [ssh] Unban 123.15.41.98 2010-06-27 00:48:01,474 fail2ban.actions: WARNING [ssh] Ban 119.147.170.13 2010-06-27 01:44:47,120 fail2ban.actions: WARNING [ssh] Unban 189.111.118.129 2010-06-27 01:54:43,927 fail2ban.actions: WARNING [ssh] Unban 84.16.224.39 2010-06-27 02:42:52,502 fail2ban.actions: WARNING [pam-generic] Unban 91.189.123.230 2010-06-27 02:42:54,493 fail2ban.actions: WARNING [ssh] Unban 91.189.123.230 |
|||
Последний раз редактировалось Serberg; 27.06.2010 в 21:00.. |
||||
Cказали cпасибо: |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
[Вопрос] Помогите разобраться в Атач превью | donavi | vBulletin 4.x | 1 | 05.03.2012 12:57 |
[Вопрос] Помогите разобраться с download2 | Syfon | vBulletin 3.х | 3 | 12.01.2011 17:02 |
помогите разобраться в выплатами Depositfiles | Evgen93 | Системы электронных денежных средств | 7 | 24.12.2010 14:45 |
[Вопрос] Помогите разобраться с MIDlet | dds | Телефоны, смартфоны, комуникаторы, КПК, GPS | 0 | 17.12.2010 15:57 |
Помогите разобраться в memtest 86 v 3.5 | wowanezz | Hardware и компьютерная периферия | 2 | 24.04.2009 18:16 |