38

Tengo un fail2ban configurado como a continuación:

bloquear la ip después de 3 intentos fallidos
liberar la IP después de 300 segundos de tiempo de espera

Esto funciona perfectamente y quiero mantenerlo así para que un usuario válido tenga la oportunidad de volver a intentar el inicio de sesión después del tiempo de espera. Ahora, quiero implementar una regla en la que si se detecta la misma IP como ataque y se bloquea, se desbloquea 5 veces, se bloquea permanentemente la IP y nunca se vuelve a desbloquear. ¿Se puede lograr esto solo con fail2ban o necesito escribir mi propio script para hacerlo?

Estoy haciendo esto en centos.

fail2ban

— BTR Naidu
fuente

2

Es una idea bastante tonta: cuantas más reglas agregue a iptables, más lento será.

— symcbean

14

Agradezco tu comentario, pero lo que necesito es una respuesta y no una sugerencia. Gracias de cualquier manera.

— BTR Naidu

55

A veces, la respuesta correcta a "cómo hago X" es "no hacer X".

— ceejayoz

32

Antes de 0.11, no había una función predeterminada o una configuración dentro de fail2ban para lograr esto. Pero a partir de la próxima versión 0.11, el tiempo de prohibición se calcula automáticamente y aumenta exponencialmente con cada nuevo delito que, a largo plazo, significará un bloqueo más o menos permanente.

Hasta entonces, su mejor enfoque probablemente sea configurar fail2ban para monitorear su propio archivo de registro . Es un proceso de dos pasos ...

Paso 1

Podríamos necesitar crear un filtro para verificar si hay BAN en el archivo de registro (archivo de registro de fail2ban)

Paso 2

Necesitamos definir la cárcel , similar a lo siguiente ...

[fail2ban]
habilitado = verdadero
filtro = fail2ban
acción = iptables-allports [nombre = fail2ban]
logpath = /path/to/fail2ban.log
# findtime: 1 día
findtime = 86400
# bantime: 1 año
bantime = 31536000

Técnicamente, no es un bloqueo permanente , sino solo bloques por un año (que también podemos aumentar).

De todos modos, para su pregunta (¿Se puede lograr esto solo con fail2ban o necesito escribir mi propio script para hacer eso?) ... escribir el propio script podría funcionar bien. Lo que recomendaría es configurar el script para extraer las IP prohibidas con frecuencia y luego ponerlas en ellas /etc/hosts.deny.

— Pothi Kalimuthu
fuente

1

Agregando a esta excelente respuesta ... Dependiendo de cómo estén configurados el registro y MaxAuthTries sshd_config, esto podría bloquear solo 3 inicios de sesión fallidos para una "sesión" sshd, no se proporcionan 3 inicios de sesión fallidos. Por ejemplo, de manera predeterminada, un atacante podría intentar ['pass1', 'pass2', 'pass3'] en una sola sesión antes de que sshd se desconecte. Dependiendo de cómo se configure sshd para iniciar sesión, esto podría aparecer como 1, 2 o 3 intentos de fail2ban.

— Jonathan Vanasco

55

Ahí está el filtro recidivo fail2ban para eso.

— Guillermo Prandi

¿Qué quieres decir con la próxima versión 0.11 ? El más reciente parece ser 10.3.1: github.com/fail2ban/fail2ban/releases

— user5950

Espero que hayas querido decir 0.10.3.1 . Puede seguir el progreso de "0.11" en github.com/fail2ban/fail2ban/tree/0.11 . Básicamente, aún no se ha lanzado.

— Pothi Kalimuthu

30

Creo que si pones bantime = -1en esa sección de configuración, es un bloque permanente.

— J. Chin
fuente

2

De hecho, establecer bantimeun valor negativo es una prohibición permanente (a partir de Fail2Ban ver. 0.6.1 (16/03/2006))

— voretaq7

3

agregar -1 a la configuración hizo que fail2ban no respondiera

— Erdem Ece

13

Phil Hagen escribió un excelente artículo sobre este tema. " Prohibir permanentemente a los delincuentes reincidentes con fail2ban ".

Su sugerencia es la misma que Pothi, pero proporciona una guía paso a paso.

Esto incluyó:

lista de prohibición separada por cárcel (ip.blocklist.ssh, ip.blocklist.xxx)
listas de prohibición cargadas automáticamente si se reinicia el servicio (ventaja principal de este método en mi humilde opinión)
notificación por correo electrónico si el repetidor está activado.

— xaa
fuente

6

Para ampliar la respuesta de Chin esto es bastante simple. Simplemente edite las 2 configuraciones /etc/fail2ban/jail.localpara que coincidan con sus preferencias.

 # ban time in seconds. Use -1 for forever. Example is 1 week.
 bantime  = 604800
 # number of failures before banning
 maxretry = 5

— Casey Watson
fuente

4

fail2ban ya tiene una cárcel para prohibir la reincidencia. Si observas /etc/fail2ban/jail.conf, encontrarás:

# Jail for more extended banning of persistent abusers
# !!! WARNING !!!
#   Make sure that your loglevel specified in fail2ban.conf/.local
#   is not at DEBUG level -- which might then cause fail2ban to fall into
#   an infinite loop constantly feeding itself with non-informative lines
[recidive]

enabled  = false
filter   = recidive
logpath  = /var/log/fail2ban.log
action   = iptables-allports[name=recidive]
           sendmail-whois-lines[name=recidive, logpath=/var/log/fail2ban.log]
bantime  = 604800  ; 1 week
findtime = 86400   ; 1 day
maxretry = 5

¿Cómo agregar en jail.local?

[recidive]
enabled  = true
bantime  = 31536000  ; 1 year
findtime = 18144000  ; 1 month
maxretry = 2

Para la comprobación del nivel de registro que se puede hacer: fail2ban-client get loglevel.

establecer loglevel MYLEVEL : establece el nivel de registro en MYLEVEL. Niveles: CRÍTICO, ERROR, ADVERTENCIA, AVISO, INFORMACIÓN, DEPURACIÓN
Más comandos en la wiki .

Con la versión anterior de fail2ban, puede obtener este error .

— A-312
fuente

0

Vaya a vim, abra /etc/fail2ban/jail.conf

y simplemente modificar después de fail2ban service restart:

# "bantime" is the number of seconds that a host is banned.
bantime  = ***1296000***

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime  = ***60000***

# "maxretry" is the number of failures before a host get banned.
maxretry = ***3***

— Tanveer Ahmad
fuente

Bloqueo permanente de IP después de n reintentos usando fail2ban

Paso 1

Paso 2

¿Cómo agregar en jail.local?