Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: fail2ban и apache2  (Прочитано 1313 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн crp.518

  • Автор темы
  • Участник
  • *
  • Сообщений: 136
    • Просмотр профиля
fail2ban и apache2
« : 08 Января 2014, 18:24:45 »
По умолчанию защита от брута в fail2ban включен только ssh, но есть возможность поставить защитку на апач, так каким образом он будет защишать тот самый апач и что на него идут какие то брутфорс атаки? или имеется ввиду защита от брута пользователя www-data?

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2267
    • Просмотр профиля
Re: fail2ban и apache2
« Ответ #1 : 09 Января 2014, 10:12:55 »
Идут, конечно. Есть несколько вариантов атаки на apache: либо брутфорс страниц, предполагающих какую-то авторизацию (здесь имеется в виду авторизация силами самого apache), либо брутфорс страниц, предполагающих авторизацию собственными силами (например, административный доступ к различным CMS), либо попытки воспользоваться теми или иными известными уязвимостями различных скриптов.

Соответственно, защита при помощи fail2ban чуть различается.

Для первого варианта (брутфорс авторизации apache) нужно что-то типа:

failregex = [[]client <HOST>[]] user .* authentication failure
            [[]client <HOST>[]] user .* not found
            [[]client <HOST>[]] user .* password mismatch

(это "напускается" на файл ошибок: /var/log/apache*/*error.log)

Второй вариант брутфорса не отражается в логах apache, поэтому самый простой метод - это объединить защиту с третьим вариантом, предварительно переименовав URL доступа к админке. Здесь нужно заметить, что нормально работающий сайт, вообще говоря, не должен приводить к появлению ошибок 4хх. Поэтому можно использовать что-то типа:

failregex = <HOST>.*\" (417|416|415|414|413|412|404|405|403|401|400)
(это "напускается" на обычные логи: /var/log/apache*/*.log)

Возможно, стоит вставить некоторое количество исключений, например:

ignoreregex = /favicon.ico
      /robots.txt

Примеры взяты из стандартной поставки fail2ban и немного подправлены. Не забудьте, что перед использованием фильтры лучше всего проверить при помощи fail2ban-regex.

Оффлайн crp.518

  • Автор темы
  • Участник
  • *
  • Сообщений: 136
    • Просмотр профиля
Re: fail2ban и apache2
« Ответ #2 : 09 Января 2014, 13:21:19 »
Значит стоит защищаться от брута апача с fail2ban.

 

Страница сгенерирована за 0.035 секунд. Запросов: 26.