|
|
| Riga 258: |
Riga 258: |
| ==== Fail2ban ==== | | ==== Fail2ban ==== |
|
| |
|
| [[Fail2ban | Fail2ban]] serve per limitare gli accessi indesiderati, bandendo per x secondi un IP che ha superato un numero di accessi impostato.
| | Questo strumento serve per limitare gli accessi indesiderati, bandendo per "X" secondi un IP che ha superato un numero di accessi impostato. |
|
| |
|
| Attenzione perché il ban riguarda solo la porta interessata.
| | {{Warningbox| |
| | * Il ban riguarda solo la porta interessata. |
| | * Indicare più volte consecutivamente uno username errato in un client SSH, anche solo per un errore di battitura, attiva l'interdizione dell'IP.}} |
|
| |
|
| Installare fail2ban è semplice :
| | Per maggiori informazioni sull'uso di tale applicativo si rimanda alla documentazione ufficiale o alla [[Fail2ban | guida presente sul wiki di debianizzati]]. |
| <pre># aptitude install fail2ban</pre>
| |
|
| |
|
| Per maggiori info visitate la documentazione ufficiale, mentre per utilizzarlo come nel nostro caso interverremo operando alcune modifiche al file <code>''/etc/fail2ban/jail.conf''</code>. | | Per fare una prova e verificare subito se tutto funziona è possibile seguire le istruzioni indicate nella sezione [[Fail2ban#Prova 2 | Prova 2]], avendo cura di usare la seguente riga di comando invece di quella mostrata (relativa a ''proftp''): |
| <pre>#tempo di ban espresso in secondi es: 3600 = 1 ora
| |
| #un tempo corto ferma ugualmente i robot e facilità il vostro ingresso in tempi brevi in caso di errore
| |
| bantime = 14400
| |
| #Numero di tentativi massimo , prima dell'azione di ban
| |
| maxretry = 3
| |
| | |
| [ssh]
| |
| | |
| enabled = true
| |
| port = ssh
| |
| filter = sshd
| |
| logpath = /var/log/auth.log
| |
| maxretry = 3</pre>
| |
| | |
| L'opzione <code>maxretry</code> risulta doppia dato che è possibile diversificare l'uso a seconda dei servizi utilizzati: la prima opzione è generale, la seconda sottostante al servizio indicato personalizza la singola applicazione.<br/>
| |
| Per ciò che riguarda la riga:
| |
| <pre>
| |
| port = ssh
| |
| </pre>
| |
| "ssh" va sostituito con la porta scelta in precedenza (vedi il paragrafo [[#Porta|Porta]]). Nel caso si lasci "ssh", il ban avverrà sulla porta di default di SSH (porta 22).<br/>
| |
| Per cui, continuando a seguire la configurazione descritta in questa guida, la riga va modificata con:
| |
| <pre>
| |
| port = 2974
| |
| </pre>
| |
| | |
| Per fare una prova e verificare subito se tutto funziona, generiamo alcuni accessi con user sbagliato sul nostro server SSH e con il comando sotto riportato saremo subito in grado di verificare la presenza di errori.
| |
| <pre># fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf</pre> | | <pre># fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf</pre> |
|
| |
| Se avete abilitato il servizio di avviso a mezzo mail, questa sotto è una parte del messaggio che vi arriverà:
| |
|
| |
| <pre>Hi,
| |
|
| |
| The IP 78.xx.xx.113 has just been banned by Fail2Ban after
| |
| 3 attempts against ssh.
| |
|
| |
| whois ..............
| |
| Lines containing IP:78.xx.xx.113 in /var/log/auth.log
| |
|
| |
| Oct 17 19:10:38 kserver sshd[23844]: Invalid user admin from 78.xx.xx.113
| |
| Oct 17 19:11:26 kserver sshd[23851]: Invalid user admin from 78.xx.xx.113
| |
| Oct 17 19:11:28 kserver sshd[23853]: Invalid user admin from 78.xx.xx.113</pre>
| |
|
| |
| {{Box|Nota|Dalla configurazione eseguita, l'accesso deve essere fatto con il nome user corretto altrimenti fail2ban interviene bannando l'IP.}}
| |
|
| |
|
| ==== Blockcontrol ==== | | ==== Blockcontrol ==== |