|
Size: 2317
Comment:
|
Size: 2554
Comment:
|
| Deletions are marked like this. | Additions are marked like this. |
| Line 9: | Line 9: |
| Di defaul in Debian / Devuan, fail2ban è configurato solo per ssh. In generale le configurazioni personalizzate ha senso farle dentro dei files con estensione ".local", che hanno la precedenza su quelli con estensione ".conf". Non ho ancora esattamente capito però l'ordine esatto di caricamento, in quanto i files di configurazione sono davvero tanti. A quanto ho capito molte impostazioni possono essere fatte in un unico file di nome {{{/etc/fail2ban/jail.local}}} oppure sparsi in modo che ci sia una logica di divisione per servizio, per esempio. |
Di defaul in Debian / Devuan, fail2ban è configurato solo per ssh. In generale le configurazioni personalizzate ha senso farle dentro dei files con estensione ".local", che hanno la precedenza su quelli con estensione ".conf". |
| Line 16: | Line 15: |
| {{{ | {{{ |
| Line 27: | Line 26: |
| {{{ | {{{ |
| Line 59: | Line 58: |
== Test vari == Potete testare le regexp di fail2ban usando il comando {{{fail2ban-regex}}}, per esempio come segue: {{{ fail2ban-regex --print-all-matched /var/log/mail.log /etc/fail2ban/filter.d/dovecot.conf }}} Inoltre il comando {{{fail2ban-client}}} permette di leggere lo stato, modificare config. ecc. Ecco alcuni esempi: {{{ fail2ban-client status fail2ban-client status dovecot fail2ban-client get dovecot failregex fail2ban-client get exim bantime fail2ban-client get exim findtime fail2ban-client get exim maxretry }}} |
Fail2ban (Su Devuan Ascii)
Fail2ban è un demone (in python) che permette di bloccare gli indirizzi ip di chi tenta attacchi brute force. È ovviamente complesso, potendosi adattare a una serie di diversi demoni e servizi (ssh, imap, smtp, ecc).
Qui raccoglierò i miei appunti sulle varie configurazioni che ho provato.
Installazione
Di defaul in Debian / Devuan, fail2ban è configurato solo per ssh. In generale le configurazioni personalizzate ha senso farle dentro dei files con estensione ".local", che hanno la precedenza su quelli con estensione ".conf".
Appunti su servizio SSH (openssh)
Se si usa una porta non standard per ssh, si puo` definirla (o definirle, se sono piu` di una, separate da una virgola) nel file /etc/fail2ban/jail.d/ssh.local, così:
[sshd] enabled = true port = 2222
Appunti su Exim / Dovecot / Sieve
Queste sono delle config valide per Exim / Dovecot / Sieve, adatte alla configurazione di Exim e Dovecot che uso normalmente io. (possiamo metterle nel file /etc/fail2ban/jail.d/mail.local per esempio)
[dovecot] enabled=true logpath = /var/log/mail.log [sieve] enabled=true logpath = /var/log/mail.log [exim] enabled = true
Appunti su Asterisk
Questa è una config per Asterisk. Funziona con versioni recenti, non sono sicuro di quelle più vecchie. Occorre fare alcune cose per farla funzionare.
- Modificare la configurazione di asterisk. Editare logger.conf e aggiungere la voce "security" alla riga "messages", così:
messages => notice,warning,error,security
- Ricaricare la config di logger con "asterisk -r" e poi in console "logger reload"
Creare questa configurazione dentro a /etc/fail2ban/jail.d/asterisk.local
[asterisk] enabled = yes bantime = 3600 findtime = 21600 maxretry = 10
NOTA: Questa config di default invia anche email, occorre vedere come reindirizzarla, se tenerla, ecc.
Test vari
Potete testare le regexp di fail2ban usando il comando fail2ban-regex, per esempio come segue:
fail2ban-regex --print-all-matched /var/log/mail.log /etc/fail2ban/filter.d/dovecot.conf
Inoltre il comando fail2ban-client permette di leggere lo stato, modificare config. ecc. Ecco alcuni esempi:
fail2ban-client status fail2ban-client status dovecot fail2ban-client get dovecot failregex fail2ban-client get exim bantime fail2ban-client get exim findtime fail2ban-client get exim maxretry