Sull’attuale versione di Debian 12 (bookworm), come abbiamo detto in qualche articolo precedente, il log sono centralizzati e gestiti da journald e si trovano in dei file binari salvati nella cartella /var/log/journal. Attivando la jail ssh su fail2ban (la prima che troviamo anche preattivata), fail2ban si rifiuta di partire perché non trova il file con … Leggi tutto
Se il nostro server web si trova dietro un proxy, è possibile che l’IP sorgente non sia quello reale del visitatore finale, ma sia quello del proxy e quindi avremo l’IP reale in qualche header tipo X-Forwarded-For; intanto potremo configurare apache per loggare l’IP in modo corretto, usando il modulo remoteip o rpaf in modo … Leggi tutto
Fail2ban non ha bisogno di presentazioni, utile per identificare richieste anomale dall’analisi dei logs di molti servizi e bloccarne le sorgenti. Su Debian 11 Bullseye consiglio di utilizzare nftables, ormai direi il firewall standard per le ultime Debian. Installiamo intanto nftables e fail2ban: apt install fail2ban nftables Copiamo il file con le regole di default, … Leggi tutto
Oggi una serie di comandi che possono tornare utili nell’uso di fail2ban. Vedere lo stato generale di fail2ban: Aggiungere il blocco per un IP alla chain sshd: Verificare lo stato della chain sshd: Eliminare un IP alla chain sshd: Aggiungere un IP in whitelist: Rimuovere un IP dalla whitelist: Vedere gli IP in whitelist: Varie: … Leggi tutto
Dopo aver installato e configurato (con le classiche impostazioni) fail2ban con nftables su Stretch ho notato che non stava funzionando. Dopo alcuni test, ho verificato che il problema è nel nome della catena (chain) di nftables. Richiamando infatti: nft list ruleset non vengono visualizzate le regole relative alle chain create. Bisogna modificare il file /etc/fail2ban/jail.conf … Leggi tutto
Per una serie di motivi potrebbe essere utile sapere in tempo reale quante connessioni vengono fatte ad apache dallo stesso IP in un certo arco di tempo. Ad esempio si potrebbe voler configurare fail2ban per bloccare attacchi DoS e quindi bisogna conoscere quante sono le connesioni che generalmente vengono fatte da ogni IP. Per fare … Leggi tutto
Oggi ho aggiornato fail2ban e tra le novità ho dovuto indicare un utente alternativo per eseguire lo script. Dopo aver riavviato lo script, ho controllato i log (/var/log/fail2ban.log) per vedere che tutto fosse corretto e mi sono accorto della riga:
1 | fail2ban.comm:WARNING Invalid command:['set','ssh','addlogpath','/var/log/auth.log'] |
Per capire meglio cosa genera l’errore, ho eseguito il comando fail2ban-client con i parametri … Leggi tutto
Di fail2ban ho già parlato diverse volte: è un software che effettua un controllo nei vari log di sistema e se rileva qualche anomalia (es tentativi di accesso ssh non autorizzati), provvede a bloccare l’IP sorgente.
Di default, fail2ban, blocca temporaneamente l’IP sorgente ed il tempo può essere modificato con la direttiva bantime nel file /etc/fail2ban/jail.conf.
Sicuramente conoscerete fail2ban (ho già scritto diversi articoli) ed anche mod-security. Il primo effettua controlli periodici nei files di log alla ricerca di particolari messaggi, es errori ripetuti di accesso ssh, e provvede a bloccare l’IP sorgente creando una regola in iptables. Il secondo invece è un modulo per apache che controlla le richieste fatte al server web alla ricerca di tentativi di intrusione, sql injections, etc.
Normalmente accade che mod-security provvede a scrivere nel file di log i tentativi di exploit, solo che i tentativi potrebbero continuare all’infinito, finché manualmente non si vanno a controllare i file di log. Potrebbe quindi tornare utile una nuova regola per fail2ban in modo da controllare anche il file di log di mod-security e bloccare gli IP relative alle richieste anomale verso il server web.