====== Fail2ban (Su Devuan Ascii, Beowulf e Chimaera, o Debian 9/10/11) ======

Fail2ban è un demone (in python) che permette di bloccare gli indirizzi ip di chi tenta attacchi brute force. È ovviamente complesso, potendosi adattare a una serie di diversi demoni e servizi (ssh, imap, smtp, ecc).

Qui raccoglierò i miei appunti sulle varie configurazioni che ho provato.

===== Installazione =====

Di defaul in Debian / Devuan, fail2ban è configurato solo per ssh. In generale le configurazioni personalizzate ha senso farle dentro dei files con estensione ".local", che hanno la precedenza su quelli con estensione ".conf".


===== Appunti su servizio SSH (openssh) =====

Se si usa una porta non standard per ssh, si puo` definirla (o definirle, se sono piu` di una, separate da una virgola) nel file ''/etc/fail2ban/jail.d/ssh.local'', così:
<code>
[sshd]
enabled = true
port = 2222

# facoltativo, piu` aggressivo rispetto al default
bantime = 60m
maxretry = 3
</code>


===== Appunti su Exim / Dovecot / Sieve =====

Queste sono delle config valide per Exim / Dovecot / Sieve, adatte alla configurazione di Exim e Dovecot che uso normalmente io.  (possiamo metterle nel file ''/etc/fail2ban/jail.d/mail.local'' per esempio)

<code>
[dovecot]
enabled=true
logpath = /var/log/mail.log

[sieve]
enabled=true
logpath = /var/log/mail.log

[exim]
enabled = true
</code>


===== Uso con Roundcube webmail =====

Impostare roundcube per usare syslog, verificare che i login falliti finiscano anche in syslog e nel file /var/log/user.log (in Debian 11 è così) e poi impostare in fail2ban una jail in ''/etc/fail2ban/jail.d/roundcube.local'' in questo modo:

<code>
[roundcube-auth]
enabled = yes
logpath  = %(syslog_user)s
backend = %(syslog_backend)s
</code>


===== Appunti su Asterisk =====

Questa è una config per Asterisk. Funziona con versioni recenti, non sono sicuro di quelle più vecchie. Occorre fare alcune cose per farla funzionare.

  * Modificare la configurazione di asterisk. Editare logger.conf e aggiungere la voce "security" alla riga "messages", così:
<code>
messages => notice,warning,error,security
</code>
  * Ricaricare la config di logger con "asterisk -r" e poi in console "logger reload"
  * Creare questa configurazione dentro a ''/etc/fail2ban/jail.d/asterisk.local''
<code>
[asterisk]
enabled = yes
bantime = 3600
findtime = 21600
maxretry = 10
</code>



===== Inviare una mail per gli eventi di ban =====

Per inviare una mail in caso di ban, possiamo aggiungere alla nostra config della jail questa configurazione:
<code>
destemail = user@domain
action = %(action_mw)s
</code>

Facendo così il sistema ci manda una mail allo start, allo stop, al ban e all'unban.

Se vogliamo evitare lo start e stop, per non ingolfarci di roba inutile, possiamo creare un file di configurazione locale che inibisce lo start e lo stop; creiamo il file ''/etc/fail2ban/action.d/sendmail-common.local'' e ci mettiamo dentro quanto segue:
<code>
[Definition]
# Disable email notifications of jails stopping or starting
actionstart =
actionstop =
</code>


===== Test vari =====

Potete testare le regexp di fail2ban usando il comando ''fail2ban-regex'', per esempio come segue:
<code>
fail2ban-regex  --print-all-matched  /var/log/mail.log /etc/fail2ban/filter.d/dovecot.conf
</code>

Inoltre il comando ''fail2ban-client'' permette di leggere lo stato, modificare config. ecc.  Ecco alcuni esempi:
<code>
fail2ban-client status

fail2ban-client status dovecot

fail2ban-client get dovecot failregex

fail2ban-client get exim bantime
fail2ban-client get exim findtime
fail2ban-client get exim maxretry
</code>



===== Ban a lungo per indirizzi recidivi =====

Se un indirizzo viene bannato più di una volta, lo si può bannare più a lungo. Questa jail usa il log di fail2ban stesso per decidere chi è recidivo. Attenzione: non impostare il log di fail2ban a "DEBUG" altrimenti si affoga nei suoi stessi log.
  * Creare il file ''/etc/fail2ban/jail.d/recidive.local''
<code>
[recidive]
enabled = true
logpath = /var/log/fail2ban.log
filter = recidive
# find how many times it was banned today
findtime = 86400 ; 1 day
# if it banned 3 times
maxretry = 3
# ban this user for 1 day
bantime = 86400
</code>
  * Se voglio un findtime o un bantime maggiore di 1 giorno, devo modificare la config di fail2ban (/etc/fail2ban/fail2ban.conf) per aumentare a piu` di un giorno il tempo di ritenzione del database, dal default di un giorno a un tempo maggiore o uguale a quello che usiamo nella jail recidive:
<code>
dbpurgeage = 1d
</code>
  * Per finire ovviamente ricarico fail2ban


===== Eccessivo uso del disco (troppo i/o) =====

Mi e` capitato di trovare Fail2ban che faceva un mostruoso uso del disco, l' iowait era fisso al 60%, e questo creava problemi anche a tutto il resto delle macchine virtuali che giravano sullo stesso server, ovviamente. Nel mio caso specifico, la soluzione e` stata quella di disattivare l'uso di un database sqlite per contenere i dati storici degli indirizzi bannati. Questa impostazione si fa nel file ''/etc/fail2ban/fail2ban.conf'', andando a cercare l'opzione "dbfile" e mettendola a "None". Volendo poi potete anche cancellare il file sqlite che era usato per questa funzione.
<code>
# Originale:
dbfile = /var/lib/fail2ban/fail2ban.sqlite3

# Disattivare l'uso del db
dbfile = None
</code>

Questo sistema per me ha immediatamente risolto il problema.

Un'altra possibilità è quella di dire a fail2ban di leggere solo l'ultimo pezzo dei log e non tutti i log pregressi. A me non è servito, ma nel caso, questa è la modifica da effettuare: Nelle configurazioni delle varie jail, occorre indicare il parametro ''logpath'' in modo diverso. Attenzione perchè il logpath può essere definito in ''/etc/fail2ban/jail.conf'' oppure dentro alle varie conf in ''jail.d'', occorre guardarci bene. In ogni caso la modifica consiste in questo:

<code>
# Originale (esempio di sshd)
logpath = %(sshd_log)s

# modificato (aggiungo un "tail" alla fine della riga)
logpath = %(sshd_log)s tail
</code>