Fail2ban: differenze tra le versioni

== Introduzione ==

'''Fail2ban''' ([http://www.fail2ban.org Sito ufficiale]) è un software che è nato per permettere di bloccare gli host che stanno tentando di effettuare un attacco di [[brute force]] via [[SSH]].  

== Il funzionamento ==

Il funzionamento è semplice: il software si occupa di effettuare il parsing di alcuni file di log (nel caso di ssh, <code>/var/log/auth.log</code>) che contengono le informazioni relative agli accessi falliti. Se vengono contati un numero di tentativi maggiori ad una soglia, l'indirizzo IP viene bloccato, attraverso una regola di iptables, per un tempo impostato e non potrà più accedere al servizio in ascolto su quella porta (ma potrà ancora accedere a quelli sulle altre, cosa molto importante nel caso di indirizzi IP condivisi, come avviene per Fastweb o all'interno delle reti aziendali).

== Installazione ==

</pre>

=== Server di posta Dovecot ===

Creare il file di filtro <code>/etc/fail2ban/filter.d/dovecot-pop3imap.conf</code>:

</pre>

<pre>

[Definition]

ignoreregex =

</pre>

<pre>

</pre>

=== Server FTP===

<pre>

# FTP servers

<pre>USER S+: no such user found from S* ?[] to S+s*$</pre>

=== Attivazione dei nuovi filtri ===

== Sitografia ==

[http://www.sistemistiindipendenti.org Sistemisti Indipendenti]

[[Categoria:SSH server e amministrazione remota]]

[[Categoria:Firewall]]

[[Categoria:Monitoraggio]]