Tabela de Conteúdos
Página desactualizada Esta página contém uma versão anterior deste guia que pode estar desatualizada. Para a consultar a versão mais recente clique aqui.
7.1.1 Fail2Ban
Objetivo
O Fail2Ban é uma aplicação que analisa continuamente os ficheiros log e bloqueia os endereços Internet de onde originaram várias tentativas falhadas de acesso com senha inválida.
O Fail2Ban é extremamente eficaz na prevenção de ataques de força bruta e de negação de serviço (DoS).
Instalação
root@server:~# aptitude install fail2ban whois
Configuração
A configuração criada durante a instalação ativa o fail2ban para a porta ssh. No entanto outras portas podem ser monitorizadas e protegidas.
A documentação do Fail2Ban aconselha a que toda a configuração seja feita em ficheiros com a extensão .local. Estes podem ser criados copiando o ficheiro de configuração original, com a extensão .conf:
root@server:~# cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Toda a configuração é a partir de agora efetuada apenas no ficheiro /etc/fail2ban/jail.local.
Numa primeira fase, definimos os endereços que não estão sujeitos a restrições (endereço local e rede local), durante quanto tempo os endereços atacantes serão banidos (1800 segundos (30 minutos)) e após quantas tentativas (3 tentativas permitidas). Essa configuração deve ser efetuada no ficheiro /etc/fail2ban/jail.local:
- /etc/fail2ban/jail.local
# [...] [DEFAULT] # "ignoreip" can be an IP address, a CIDR mask or a DNS host ignoreip = 127.0.0.1 192.168.1.0/24 bantime = 1800 maxretry = 3 # [...]
Também é definido o endereço email para o qual serão enviados os alertas:
- /etc/fail2ban/jail.local
# [...] # # Destination email address used solely for the interpolations in # jail.{conf,local} configuration files. destemail = root@localhost # [...]
Em seguida, é configurada a ação a realizar quando é detetado um possível ataque. Neste caso, o endereço IP do atacante é banido e um email é enviado ao administrador do sistema.
- /etc/fail2ban/jail.local
# [...] # # ACTIONS # # Default banning action (e.g. iptables, iptables-new, # iptables-multiport, shorewall, etc) It is used to define # action_* variables. Can be overriden globally or per # section within jail.local file banaction = iptables-multiport # [...] # Choose default action. To change, just override value of 'action' with the # interpolation to the chosen action shortcut (e.g. action_mw, action_mwl, etc) in jail.local # globally (section [DEFAULT]) or per specific section action = %(action_mwl)s # [...]
Por último, são definidos os parâmetros do serviço que se pretende proteger, editando a secção JAILS do ficheiro /etc/fail2ban/jail.local:
- /etc/fail2ban/jail.local
# [...] # # JAILS # # [...] [ssh] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 3 # [...]
Finalmente, reiniciar o serviço fail2ban:
root@server:~# /etc/init.d/fail2ban restart
Verificação
A cada (re)início do serviço fail2ban um email de notificação será enviado ao administrador do sistema:
Subject: [Fail2Ban] ssh: started Date: Wed, 15 May 2013 16:10:03 +0000 From: Fail2Ban <fail2ban@home.lan> To: root@localhost Hi, The jail ssh has been started successfully. Regards, Fail2Ban
E a cada ataque que despolete uma ação defensiva, o administrador será também notificado:
Subject: [Fail2Ban] ssh: banned 219.148.120.238 Date: Wed, 15 May 2013 17:15:59 +0000 From: Fail2Ban <fail2ban@home.lan> To: root@localhost Hi, The IP 219.148.120.238 has just been banned by Fail2Ban after 3 attempts against ssh. Here are more information about 219.148.120.238: % [whois.apnic.net node-7] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html inetnum: 219.148.0.0 - 219.148.159.255 netname: CHINANET-HE descr: CHINANET hebei province network descr: China Telecom descr: No.31,jingrong street descr: Beijing 100032 country: CN admin-c: CH93-AP tech-c: BR3-AP status: ALLOCATED NON-PORTABLE changed: ipadmin@north.cn.net 20060526 mnt-by: MAINT-CHINANET mnt-lower: MAINT-CHINANET-HE mnt-routes: MAINT-CHINANET-HE source: APNIC # [...] Lines containing IP:219.148.120.238 in /var/log/auth.log May 15 17:07:25 server sshd[27043]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=219.148.120.238 user=root May 15 17:07:26 server sshd[27043]: Failed password for root from 219.148.120.238 port 59879 ssh2 May 15 17:07:29 server sshd[27046]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=219.148.120.238 user=root May 15 17:07:31 server sshd[27046]: Failed password for root from 219.148.120.238 port 60898 ssh2 May 15 17:07:34 server sshd[27048]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=219.148.120.238 user=root May 15 17:07:36 server sshd[27048]: Failed password for root from 219.148.120.238 port 33737 ssh2 Regards, Fail2Ban
Estado do fail2ban
O comando fail2ban-client status permite obter mais informações acerca o estado do serviço fail2ban:
root@server:~# fail2ban-client status Status |- Number of jail: 5 `- Jail list: proftpd, postfix, ssh, apache, dovecot
O resultado mostra que estão a ser monitorizados 5 serviços…
root@server:~# fail2ban-client status ssh Status for the jail: ssh |- filter | |- File list: /var/log/auth.log | |- Currently failed: 0 | `- Total failed: 9 `- action |- Currently banned: 2 | `- IP list: 103.41.124.33 211.154.20.44 `- Total banned: 2
… e que estão atualmente banidos 2 entereços IP após 9 tentativas de acesso ilegal ao serviço “ssh”.
O pacote Fail2Ban pode ser utilizado para proteger servidores de e-mail, ftp, web, etc, bastando para tal editar o ficheiro /etc/fail2ban/jail.local para configurar os vários serviços que se pretendem proteger.
Referências