¿Ejecutar fail2ban y ufw causará problemas? Noté que fail2ban modifica las reglas de iptables, pero ufw ya tiene un montón de reglas de iptables definidas ... así que no estoy seguro de si fail2ban las estropeará.
¿Ejecutar fail2ban y ufw causará problemas? Noté que fail2ban modifica las reglas de iptables, pero ufw ya tiene un montón de reglas de iptables definidas ... así que no estoy seguro de si fail2ban las estropeará.
Respuestas:
Puede usar ufw y fail2b juntos, pero como se indicó anteriormente, el orden de las reglas (ufw) es lo importante.
Fuera de la caja, fail2ban usa iptables e inserta las reglas primero en la cadena INPUT. Esto no hará ningún daño o conflicto con ufw.
Si desea integrar completamente fail2ban para usar ufw (en lugar de iptables). Deberá editar una serie de archivos, incluidos
/etc/fail2ban/jail.local
jail.local es donde define sus servicios, incluido qué puerto están escuchando (piense en cambiar ssh a un puerto no predeterminado) y qué medidas tomar.
** Tenga en cuenta *: nunca edite jail.conf , ¡sus cambios deben hacerse en jail.local
! Ese archivo comienza con esto:
# Changes: in most of the cases you should not modify this
# file, but provide customizations in jail.local file,
# or separate .conf files under jail.d/ directory
Usando ssh como ejemplo, tenga en cuenta la definición de un puerto no predeterminado también =)
[ssh]
enabled = true
banaction = ufw-ssh
port = 2992
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
Luego configura fail2ban para usar ufw en (un archivo .conf para cada servicio)
/etc/fail2ban/action.d/ufw-ssh.conf
La sintaxis es
[Definition]
actionstart =
actionstop =
actioncheck =
actionban = ufw insert 1 deny from <ip> to any app OpenSSH
actionunban = ufw delete deny from <ip> to any app OpenSSH
Nota: Configura fail2ban para usar ufw e insertar nuevas reglas PRIMERO usando la sintaxis "insert 1". La eliminación encontrará la regla independientemente del orden.
Hay una buena publicación de blog que entra en más detalles aquí.
http://blog.vigilcode.com/2011/05/ufw-with-fail2ban-quick-secure-setup-part-ii/
[EDITAR] Para ubuntu 16.04+
por defecto un " defaults-debian.conf
" /etc/fail2ban/jail.d
con contenido
[sshd]
enabled = true
activará la protección ssh de fail2ban.
Necesitas ponerlo en falso.
Luego crea un jail.local como lo harías en general, el mío sería así:
[ssh-with-ufw]
enabled = true
port = 22
filter = sshd
action = ufw[application="OpenSSH", blocktype=reject]
logpath = /var/log/auth.log
maxretry = 3
Ya hay un ufw.conf en la instalación predeterminada de fail2ban, por lo que no es necesario crear uno.
El único cambio específico para usted jail.local sería en la línea de acción donde debe colocar la aplicación correspondiente para la protección y lo que desea obtener como resultado.
ufw tiende a detectar automáticamente cierta cantidad de aplicaciones que se ejecutan usando la red. Para tener la lista simplemente escriba sudo ufw app list
. Es sensible a mayúsculas y minúsculas.
vuelva a cargar fail2ban y ya no verá la cadena fail2ban y si alguna IP obtiene un bloque, lo verá en sudo ufw status
ufw status
, necesita la integración. Además de que aparezcan los bloques ufw status
, ¿no habría otro beneficio? Sobre todo porque el autor del blog dice lo siguiente: Fuera de la caja Fail2ban trabaja con las reglas de iptables, sin embargo, estos no juegan bien con nuestros comandos simples UFW (...)
He estado usando fail2ban y ufw durante años en un par de computadoras diferentes, y nunca tuve ningún problema. Para configurar fail2ban:
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano jail.local
Ahora edite el archivo como lo desee, por ejemplo, si desea bloquear ssh no autorizado, busque las líneas:
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
si "habilitado" se establece en "falso", cámbielo a "verdadero" como se indica aquí. Después de establecer las reglas, debe reiniciar el proceso fail2ban:
sudo /etc/init.d/fail2ban restart
Si ha abierto el puerto 22 en su firewall ufw, fail2ban prohibirá a los clientes que intenten conectarse más de 6 veces sin éxito, no romperá su firewall.
La instalación de 0.9.5 de fail2ban incluyó una ufw
acción que simplemente tuve que configurar parabanaction