= Fail2ban (Su Devuan Ascii, Beowulf e Chimaera, o Debian 9/10/11) =

Fail2ban è un demone (in python) che permette di bloccare gli indirizzi ip di chi tenta attacchi brute force. È ovviamente complesso, potendosi adattare a una serie di diversi demoni e servizi (ssh, imap, smtp, ecc).

Qui raccoglierò i miei appunti sulle varie configurazioni che ho provato.

== Installazione ==

Di defaul in Debian / Devuan, fail2ban è configurato solo per ssh. In generale le configurazioni personalizzate ha senso farle dentro dei files con estensione ".local", che hanno la precedenza su quelli con estensione ".conf".


== Appunti su servizio SSH (openssh) ==

Se si usa una porta non standard per ssh, si puo` definirla (o definirle, se sono piu` di una, separate da una virgola) nel file {{{/etc/fail2ban/jail.d/ssh.local}}}, così:
 {{{
[sshd]
enabled = true
port = 2222

# facoltativo, piu` aggressivo rispetto al default
bantime = 60m
maxretry = 3
}}}


== Appunti su Exim / Dovecot / Sieve ==

Queste sono delle config valide per Exim / Dovecot / Sieve, adatte alla configurazione di Exim e Dovecot che uso normalmente io.  (possiamo metterle nel file {{{/etc/fail2ban/jail.d/mail.local}}} per esempio)

 {{{
[dovecot]
enabled=true
logpath = /var/log/mail.log

[sieve]
enabled=true
logpath = /var/log/mail.log

[exim]
enabled = true
}}}


== Uso con Roundcube webmail ==

Impostare roundcube per usare syslog, verificare che i login falliti finiscano anche in syslog e nel file /var/log/user.log (in Debian 11 è così) e poi impostare in fail2ban una jail in {{{/etc/fail2ban/jail.d/roundcube.local}}} in questo modo:

{{{
[roundcube-auth]
enabled = yes
logpath  = %(syslog_user)s
backend = %(syslog_backend)s
}}}


== Appunti su Asterisk ==

Questa è una config per Asterisk. Funziona con versioni recenti, non sono sicuro di quelle più vecchie. Occorre fare alcune cose per farla funzionare.

 * Modificare la configurazione di asterisk. Editare logger.conf e aggiungere la voce "security" alla riga "messages", così:
 {{{
messages => notice,warning,error,security
}}}
 * Ricaricare la config di logger con "asterisk -r" e poi in console "logger reload"
 * Creare questa configurazione dentro a {{{/etc/fail2ban/jail.d/asterisk.local}}}
 {{{
[asterisk]
enabled = yes
bantime = 3600
findtime = 21600
maxretry = 10
}}}



== Inviare una mail per gli eventi di ban ==

Per inviare una mail in caso di ban, possiamo aggiungere alla nostra config della jail questa configurazione:
 {{{
destemail = user@domain
action = %(action_mw)s
}}}

Facendo così il sistema ci manda una mail allo start, allo stop, al ban e all'unban.

Se vogliamo evitare lo start e stop, per non ingolfarci di roba inutile, possiamo creare un file di configurazione locale che inibisce lo start e lo stop; creiamo il file {{{/etc/fail2ban/action.d/sendmail-common.local}}} e ci mettiamo dentro quanto segue:
 {{{
[Definition]
# Disable email notifications of jails stopping or starting
actionstart =
actionstop =
}}}


== Test vari ==

Potete testare le regexp di fail2ban usando il comando {{{fail2ban-regex}}}, per esempio come segue:
 {{{
fail2ban-regex  --print-all-matched  /var/log/mail.log /etc/fail2ban/filter.d/dovecot.conf
}}}

Inoltre il comando {{{fail2ban-client}}} permette di leggere lo stato, modificare config. ecc.  Ecco alcuni esempi:
 {{{
fail2ban-client status

fail2ban-client status dovecot

fail2ban-client get dovecot failregex

fail2ban-client get exim bantime
fail2ban-client get exim findtime
fail2ban-client get exim maxretry
}}}



== Ban a lungo per indirizzi recidivi ==

Se un indirizzo viene bannato più di una volta, lo si può bannare più a lungo. Questa jail usa il log di fail2ban stesso per decidere chi è recidivo. Attenzione: non impostare il log di fail2ban a "DEBUG" altrimenti si affoga nei suoi stessi log.
 * Creare il file {{{/etc/fail2ban/jail.d/recidive.local}}}
 {{{
[recidive]
enabled = true
logpath = /var/log/fail2ban.log
filter = recidive
# find how many times it was banned today
findtime = 86400 ; 1 day
# if it banned 3 times
maxretry = 3
# ban this user for 1 day
bantime = 86400
}}}
 * Se voglio un findtime o un bantime maggiore di 1 giorno, devo modificare la config di fail2ban (/etc/fail2ban/fail2ban.conf) per aumentare a piu` di un giorno il tempo di ritenzione del database, dal default di un giorno a un tempo maggiore o uguale a quello che usiamo nella jail recidive:
 {{{
dbpurgeage = 1d
}}}
 * Per finire ovviamente ricarico fail2ban


== Eccessivo uso del disco (troppo i/o) ==

Mi e` capitato di trovare Fail2ban che faceva un mostruoso uso del disco, l' iowait era fisso al 60%, e questo creava problemi anche a tutto il resto delle macchine virtuali che giravano sullo stesso server, ovviamente. Nel mio caso specifico, la soluzione e` stata quella di disattivare l'uso di un database sqlite per contenere i dati storici degli indirizzi bannati. Questa impostazione si fa nel file {{{/etc/fail2ban/fail2ban.conf}}}, andando a cercare l'opzione "dbfile" e mettendola a "None". Volendo poi potete anche cancellare il file sqlite che era usato per questa funzione.
 {{{
# Originale:
dbfile = /var/lib/fail2ban/fail2ban.sqlite3

# Disattivare l'uso del db
dbfile = None
}}}

Questo sistema per me ha immediatamente risolto il problema.

Un'altra possibilità è quella di dire a fail2ban di leggere solo l'ultimo pezzo dei log e non tutti i log pregressi. A me non è servito, ma nel caso, questa è la modifica da effettuare: Nelle configurazioni delle varie jail, occorre indicare il parametro {{{logpath}}} in modo diverso. Attenzione perchè il logpath può essere definito in {{{/etc/fail2ban/jail.conf}}} oppure dentro alle varie conf in {{{jail.d}}}, occorre guardarci bene. In ogni caso la modifica consiste in questo:

 {{{
# Originale (esempio di sshd)
logpath = %(sshd_log)s

# modificato (aggiungo un "tail" alla fine della riga)
logpath = %(sshd_log)s tail
}}}