Fail2ban: differenze tra le versioni

Vai alla navigazione Vai alla ricerca
m
m (Nuova pagina: {{stub}} '''Fail2ban''' è un software che è nato per permettere di bloccare gli host che stanno tentando di effettuare un attacco di brute force via ssh. Questo genere di ...)
 
Riga 20: Riga 20:
== Configurazione ==
== Configurazione ==
Il file di configurazione è <tt>/etc/fail2ban/jail.local</tt> e contiene i parametri necessari al funzionamento del software
Il file di configurazione è <tt>/etc/fail2ban/jail.local</tt> e contiene i parametri necessari al funzionamento del software
Il file di configurazione è diviso per sezioni: Ogni sezione inizia ha una struttura simile a:
<pre>
[nomesezione]
parametro = valore
parametro2 = valore
parametro3 = valore
</pre>
Ogni sezione, quindi, identificherà un controllo da eseguire. Fa eccezione la prima: <tt>[DEFAULT]</tt>, in quanto contiene i valori di default che verranno usati nelle sezioni successive; ovviamente potranno essere ridefiniti per adattarli ai propri gusti.
== I Parametri ==
I parametri più importanti sono:
; <tt>ignoreip = 127.0.0.1</tt> : permette di indicare un elenco di ip su cui non verrà fatto il controllo. Utile per non ''tagliare fuori'' accidentalmente l'ufficio
; <tt>bantime  = 600</tt> : il tempo, in secondi, per cui un host verrà bannato
; <tt>maxretry = 3</tt> : il numero massimo di tentativi dopo cui effettuare il ban dell'host
; <tt>destemail = root@localhost</tt> : l'indirizzo e-mail a cui inviare la mail di notifica
; <tt>action = iptables[name=%(__name__)s, port=%(port)s]</tt> : l'azione da prendere. Quella di default blocca semplicemente l'accesso alla porta del servizio all'ip che ha sforato il numero di tentativi massimo.
; <tt>enabled = true</tt> : abilita i controlli all'interno della sezione
; <tt>port    = ssh</tt> : indica la porta da bloccare
; <tt>filter  = sshd</tt> : indica il filtro da utilizzare (contenuto all'interno della directory <tt>/etc/fail2ban/filter.d</tt> )
; <tt>logpath  = /var/log/auth.log</tt> : il file contenente il log da controllare
== Esempi di Azioni ==
=== Filtraggio semplice ===
Questa azione applica semplicemente un filtro in modo che l'host che ha effettuato un numero di tentativi maggiori di quello definito viene fermato.
<pre>action = iptables[name=%(__name__)s, port=%(port)s]
</pre>
=== Filtraggio con Notifica ===
Questa regola amplia quella precedente, in quanto manda una mail contenente l'ip ed il [[whois]] dell'ip dell'host che ha fatto scattare l'allarme
<pre>
action = iptables[name=%(__name__)s, port=%(port)s]
        mail-whois[name=%(__name__)s, dest=%(destemail)s]
</pre>
=== Filtraggio con Notifica Avanzata ===
Come prima, ma in aggiunta sono presenti anche le linee del file di log che hanno fatto scattare l'allarme.
<pre>action = iptables[name=%(__name__)s, port=%(port)s]
          mail-whois-lines[name=%(__name__)s, dest=%(destemail)s, logpath=%(logpath)s]
</pre>


[[Categoria:Sicurezza]]
[[Categoria:Sicurezza]]
[[Categoria:Networking]]
[[Categoria:Networking]]
1 487

contributi

Menu di navigazione