Различия
Здесь показаны различия между двумя версиями данной страницы.
Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия Следующая версия Следующая версия справа и слева | ||
wiki:fail2ban [2013/05/26 17:13] [Ссылки] |
wiki:fail2ban [2013/10/04 22:45] [Ссылки] |
||
---|---|---|---|
Строка 3: | Строка 3: | ||
Всегда есть ненулевая вероятность, что где-нибудь кто-нибудь выберет не столь сложный и надежный пароль, который злоумышленник сможет подобрать простым перебором. | Всегда есть ненулевая вероятность, что где-нибудь кто-нибудь выберет не столь сложный и надежный пароль, который злоумышленник сможет подобрать простым перебором. | ||
- | Для защиты от такого подбора пароля (такую атаку часто называют брутфорсом - см. [[wpru>Полный перебор]]) есть удачное и изящное решение - fail2ban. Этот пакет есть в репозитории, и базовая установка очень проста: | + | Для защиты от такого подбора пароля (такую атаку часто называют брутфорсом - см. [[wpru>Полный перебор]]) есть удачное и изящное решение - fail2ban. |
+ | |||
+ | ===== Установка ===== | ||
+ | |||
+ | Этот пакет есть в репозитории, и базовая установка очень проста: | ||
<code bash>sudo apt-get install fail2ban</code> | <code bash>sudo apt-get install fail2ban</code> | ||
Строка 10: | Строка 15: | ||
Основная идея Fail2ban - при превышении заданного числа неудачных вводов пароля подряд (по умолчанию - 6) бан IP, с которого были попытки подбора на заданное время (по умолчанию - 600 секунд). | Основная идея Fail2ban - при превышении заданного числа неудачных вводов пароля подряд (по умолчанию - 6) бан IP, с которого были попытки подбора на заданное время (по умолчанию - 600 секунд). | ||
- | Параметры можно посмотреть и поменять в файле ///etc/fail2ban/jail.conf//. Существующие фильтры (т.е. правила, по которым определяется неудачная попытка ввода пароля) лежат в директории ///etc/fail2ban/filter.d// (можно их править или на их основе делать свои фильтры), а существующие правила реагирования - в директории ///etc/fail2ban/action.d// . | + | ===== Настройка ===== |
+ | |||
+ | Параметры можно посмотреть и поменять в файле ///etc/fail2ban/jail.conf//. Существующие фильтры (т.е. правила, по которым определяется неудачная попытка ввода пароля) лежат в директории ///etc/fail2ban/filter.d// (можно их править или на их основе делать свои фильтры), а существующие правила реагирования - в директории ///etc/fail2ban/action.d//. Все файлы довольно хорошо откомментированы. | ||
+ | |||
+ | Ниже преведено несколько примеров конфигурации ///etc/fail2ban/jail.conf//. | ||
+ | |||
+ | ==== Удалённый доступ ==== | ||
+ | |||
+ | <code>[ssh-iptables] | ||
+ | |||
+ | enabled = true | ||
+ | filter = sshd | ||
+ | action = iptables[name=SSH, port=ssh, protocol=tcp] | ||
+ | logpath = /var/log/secure | ||
+ | maxretry = 3</code> | ||
+ | |||
+ | ==== Почта ==== | ||
+ | <code>[dovecot-iptables] | ||
+ | |||
+ | enabled = true | ||
+ | filter = dovecot | ||
+ | action = iptables-multiport[name=DCOT, port="pop3,pop3s,imap,imaps", protocol=tcp] | ||
+ | logpath = /var/log/maillog | ||
+ | findtime = 300 | ||
+ | maxretry = 5 | ||
+ | bantime = 1800 | ||
+ | |||
+ | [postfix-iptables] | ||
+ | |||
+ | enabled = true | ||
+ | filter = postfix | ||
+ | action = iptables-multiport[name=PFIX, port="smtp,smtps", protocol=tcp] | ||
+ | logpath = /var/log/maillog | ||
+ | maxretry = 5 | ||
+ | bantime = 7200 | ||
- | Все файлы довольно хорошо откомментированы. | + | [sasl-iptables] |
+ | enabled = true | ||
+ | filter = sasl | ||
+ | action = iptables-multiport[name=SASL, port="smtp,smtps", protocol=tcp] | ||
+ | logpath = /var/log/maillog | ||
+ | findtime = 300 | ||
+ | maxretry = 5 | ||
+ | bantime = 1800</code> | ||
===== Ссылки ===== | ===== Ссылки ===== | ||
* [[http://forum.ubuntu.ru/index.php?topic=201989.0|fail2ban - защита от брутфорса]] — эта статья на форуме | * [[http://forum.ubuntu.ru/index.php?topic=201989.0|fail2ban - защита от брутфорса]] — эта статья на форуме | ||
Строка 19: | Строка 65: | ||
* [[http://forum.ubuntu.ru/index.php?topic=221859.0|Настройка работы drupal 7 с fail2ban через syslog в ubuntu 12.04]] | * [[http://forum.ubuntu.ru/index.php?topic=221859.0|Настройка работы drupal 7 с fail2ban через syslog в ubuntu 12.04]] | ||
- | {{tag>fail2ban ssh ftp Администрирование}} | + | {{tag>fail2ban ssh ftp iptables Администрирование}} |