SMsoft – informatica e dintorni

fail2ban e blocco permanente dopo n tentativi

Di fail2ban ho già parlato diverse volte: è un software che effettua un controllo nei vari log di sistema e se rileva qualche anomalia (es tentativi di accesso ssh non autorizzati), provvede a bloccare l’IP sorgente.

Di default, fail2ban, blocca temporaneamente l’IP sorgente ed il tempo può essere modificato con la direttiva bantime nel file /etc/fail2ban/jail.conf.

Facendo qualche controllo in questi giorni, mi sono accorto che ci sono IP che effettuano continui tentativi di accesso e che riprendono a fare tentativi, dopo averli sbloccati (ovvero dopo che il bantime è trascorso).

Ho pensato che sarebbe utile un sistema che provvede a bloccare in modo definitivo un IP che persevera nei tentativi di accesso abusivo. Fail2ban può fare questo per noi, se lo configuriamo opportunamente. L’idea di base è quella di creare un controllo del file di log di fail2ban /var/log/fail2ban.log e se viene riscontrato il blocco per più di una volta da un qualsiasi filtro attivo, allora viene avviato una nuova azione di blocco definitivo. Vediamo come fare.

Nel file di configurazione /etc/fail2ban/jail.conf aggiungiamo:

poi creiamo il filtro in /etc/fail2ban/filter.d/fail2ban.conf :

Bene, ora riavviamo fail2ban e dopo 3 blocchi di un IP, verrà attivato il blocco permanente.

Quanto fatto, potrebbe andar bene, ma se dovessimo riavviare fail2ban, gli IP bloccati anche in modo permanente, verrebbero sbloccati. Poco male, perché non credo fail2ban venga riavviato ogni giorno e comunque appena vengono identificati nuovamente blocchi ripetuti, si riattiva il meccanismo di blocco permanente. Per quanto mi riguarda, utilizzando apf-firewall, ho pensato di gestire il blocco permanente con un’azione specifica, in modo che l’IP venga memorizzato da apf e quindi gestito autonomamente da quest’ultimo.

Se volete usare questa soluzione, basterà creare un nuova azione di fail2ban, partendo da quella di shorewall:

e poi modificando le righe di actionban ed actionunban in /etc/fail2ban/action.d/apf.conf come segue:

Infine andrà modificata l’action della regola fail2ban in /etc/fail2ban/jail.conf da:

a

Varie:

Per testare il funzionamento di un filtro, ad esempio il filtro fail2ban creato prima, basta digitare:

Per verificare i filtri attivi:

Per controllare gli IP bloccati da un determintato filtro:

enjoy!




Se hai trovato utili le informazioni su questo blog,
Fai una donazione!
Clicca sul bottone qui sotto o almeno clicca sul banner pubblicitario :-)
*
Taggato su:

Commenti

Page optimized by WP Minify WordPress Plugin