1 487
contributi
m (Nuova pagina: {{stub}} '''Fail2ban''' è un software che è nato per permettere di bloccare gli host che stanno tentando di effettuare un attacco di brute force via ssh. Questo genere di ...) |
m (→Configurazione) |
||
Riga 20: | Riga 20: | ||
== Configurazione == | == Configurazione == | ||
Il file di configurazione è <tt>/etc/fail2ban/jail.local</tt> e contiene i parametri necessari al funzionamento del software | Il file di configurazione è <tt>/etc/fail2ban/jail.local</tt> e contiene i parametri necessari al funzionamento del software | ||
Il file di configurazione è diviso per sezioni: Ogni sezione inizia ha una struttura simile a: | |||
<pre> | |||
[nomesezione] | |||
parametro = valore | |||
parametro2 = valore | |||
parametro3 = valore | |||
</pre> | |||
Ogni sezione, quindi, identificherà un controllo da eseguire. Fa eccezione la prima: <tt>[DEFAULT]</tt>, in quanto contiene i valori di default che verranno usati nelle sezioni successive; ovviamente potranno essere ridefiniti per adattarli ai propri gusti. | |||
== I Parametri == | |||
I parametri più importanti sono: | |||
; <tt>ignoreip = 127.0.0.1</tt> : permette di indicare un elenco di ip su cui non verrà fatto il controllo. Utile per non ''tagliare fuori'' accidentalmente l'ufficio | |||
; <tt>bantime = 600</tt> : il tempo, in secondi, per cui un host verrà bannato | |||
; <tt>maxretry = 3</tt> : il numero massimo di tentativi dopo cui effettuare il ban dell'host | |||
; <tt>destemail = root@localhost</tt> : l'indirizzo e-mail a cui inviare la mail di notifica | |||
; <tt>action = iptables[name=%(__name__)s, port=%(port)s]</tt> : l'azione da prendere. Quella di default blocca semplicemente l'accesso alla porta del servizio all'ip che ha sforato il numero di tentativi massimo. | |||
; <tt>enabled = true</tt> : abilita i controlli all'interno della sezione | |||
; <tt>port = ssh</tt> : indica la porta da bloccare | |||
; <tt>filter = sshd</tt> : indica il filtro da utilizzare (contenuto all'interno della directory <tt>/etc/fail2ban/filter.d</tt> ) | |||
; <tt>logpath = /var/log/auth.log</tt> : il file contenente il log da controllare | |||
== Esempi di Azioni == | |||
=== Filtraggio semplice === | |||
Questa azione applica semplicemente un filtro in modo che l'host che ha effettuato un numero di tentativi maggiori di quello definito viene fermato. | |||
<pre>action = iptables[name=%(__name__)s, port=%(port)s] | |||
</pre> | |||
=== Filtraggio con Notifica === | |||
Questa regola amplia quella precedente, in quanto manda una mail contenente l'ip ed il [[whois]] dell'ip dell'host che ha fatto scattare l'allarme | |||
<pre> | |||
action = iptables[name=%(__name__)s, port=%(port)s] | |||
mail-whois[name=%(__name__)s, dest=%(destemail)s] | |||
</pre> | |||
=== Filtraggio con Notifica Avanzata === | |||
Come prima, ma in aggiunta sono presenti anche le linee del file di log che hanno fatto scattare l'allarme. | |||
<pre>action = iptables[name=%(__name__)s, port=%(port)s] | |||
mail-whois-lines[name=%(__name__)s, dest=%(destemail)s, logpath=%(logpath)s] | |||
</pre> | |||
[[Categoria:Sicurezza]] | [[Categoria:Sicurezza]] | ||
[[Categoria:Networking]] | [[Categoria:Networking]] |
contributi