fail2ban - защита от брутфорса

[Karl500]

Всегда есть ненулевая вероятность, что где-нибудь кто-нибудь выберет не столь сложный и надежный пароль, который злоумышленник сможет подобрать простым перебором.

Для защиты от такого подбора пароля (такую атаку часто называют брутфорсом - см. http://ru.wikipedia.org/wiki/%D0%9F%D0%BE%D0%BB%D0%BD%D1%8B%D0%B9_%D0%BF%D0%B5%D1%80%D0%B5%D0%B1%D0%BE%D1%80 ) есть удачное и изящное решение - fail2ban. Этот пакет есть в репозиториях, и базовая установка очень проста:

Код: [Выделить]

sudo apt-get install fail2ban
В состоянии сразу после установки (во всяком случае, в 10.04) защита от брутфорса по ssh включена.

Основная идея - при превышении заданного числа неудачных вводов пароля подряд (по умолчанию - 6) бан IP, с которого были попытки подбора на заданное время (по умолчанию - 600 секунд).

Параметры можно посмотреть и поменять в файле /etc/fail2ban/jail.conf. Существующие фильтры (т.е. правила, по которым определяется неудачная попытка ввода пароля) лежат в директории /etc/fail2ban/filter.d/ (можно их править или на их основе делать свои фильтры), а существующие правила реагирования - в директории /etc/fail2ban/action.d/

Все файлы довольно хорошо откомментированы.

[ZwS]

а почему не сюда?

[rumit]

Karl500,
Спасибо!

[Lifewalker]

В свете последних событий крайне полезные сведения. Спасибо

[track]

В свете последних событий крайне полезные сведения. Спасибо

Чё было? А то моя не в курсе.

[ArcFi]

track, https://forum.ubuntu.ru/index.php?topic=201969.0

[Haron Prime]

Штука таки очень хорошая! Пользуюсь с тех пор, как настроил ssh доступ к компу (пару-тройку лет). С тех пор ежедневно в логах нахожу попытки несанкционированного доступа.
У меня, само собой, доступ настроен не по паролю, а по rsa-ключу, и без прав суперпользователя, но лишняя осторожность никогда не помешает. )))
Я ещё и дефолтный конфиг чуток перенастроил, уменьшив количество неудачных попыток, после которых выдаётся бан, до двух и увеличив время до 60000. ))))
Сам пользуюсь и другим советую.

[rumit]

Вопрос:
[ssh]

enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 2
это понятно! а другие настройки такие как [dropbear], [pam-generic], [ssh-ddos], [apache], [apache-noscript] по умолчанию false. оставлять их отключенными или же тоже true?

[Karl500]

Это - другие фильтры. Если у Вас есть apache - включите соответствующие (только предварительно посмотрите на сами фильтры - возможно, там не вполне верные настройки) и т.п.

Кстати, есть возможность потестировать фильтры - в состав пакета входит программа fail2ban-regex. С ее помощью можно "напустить" фильтр на тот или иной лог-файл и получить на выходе информацию о срабатывании fail2ban. Крайне удобно при корректировке фильтров.

[vselax]

Штука не плохая, но можно и самому потерять доступ к серваку, если работаешь за NAT`ом провайдера и/или имеешь динамический ip.

[Karl500]

Да. Но - только на заранее заданный период времени. Т.е. по прошествии (по умолчанию) 10 минут доступ восстановится. А брутфорс с такими (или больше) временнЫми задержками - бессмысленнен.

[rumit]

Кстати, есть возможность потестировать фильтры - в состав пакета входит программа fail2ban-regex. С ее помощью можно "напустить" фильтр на тот или иной лог-файл и получить на выходе информацию о срабатывании fail2ban. Крайне удобно при корректировке фильтров.

а как это осуществить? объясните пожалуйста.

[Karl500]

Допустим, имеете лог-файл, в котором записаны неудачные попытки входа (/var/log/someservice.log) и имеете написанный Вами фильтр, в котором заданы regexp'ы для ловли этих попыток (/etc/fail2ban/filter.d/myfilter.conf). Тогда для проверки написанного фильтра выполните команду

Код: [Выделить]

fail2ban-regexp /var/log/someservice.log /etc/fail2ban/filter.d/myfilter.conf
и на выходе получите информацию о срабатывании (или не срабатывании) фильтра, что-то типа (специально сейчас попытался войти к себе с неверным паролем: вон, видите - одно срабатывание 3-го правила):

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

root@vladimir:/etc/fail2ban# fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf
/usr/share/fail2ban/server/filter.py:442: DeprecationWarning: the md5 module is deprecated; use hashlib instead
  import md5

Running tests
=============

Use regex file : /etc/fail2ban/filter.d/sshd.conf
Use log file   : /var/log/auth.log


Results
=======

Failregex
|- Regular expressions:
|  [1] ^\s*(?:\S+ )?(?:@vserver_\S+ )?(?:(?:\[\d+\])?:\s+[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?|[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?(?:\[\d+\])?:)?\s*(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$
|  [2] ^\s*(?:\S+ )?(?:@vserver_\S+ )?(?:(?:\[\d+\])?:\s+[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?|[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?(?:\[\d+\])?:)?\s*(?:error: PAM: )?User not known to the underlying authentication module for .* from <HOST>\s*$
|  [3] ^\s*(?:\S+ )?(?:@vserver_\S+ )?(?:(?:\[\d+\])?:\s+[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?|[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?(?:\[\d+\])?:)?\s*Failed (?:password|publickey) for .* from <HOST>(?: port \d*)?(?: ssh\d*)?$
|  [4] ^\s*(?:\S+ )?(?:@vserver_\S+ )?(?:(?:\[\d+\])?:\s+[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?|[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?(?:\[\d+\])?:)?\s*ROOT LOGIN REFUSED.* FROM <HOST>\s*$
|  [5] ^\s*(?:\S+ )?(?:@vserver_\S+ )?(?:(?:\[\d+\])?:\s+[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?|[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?(?:\[\d+\])?:)?\s*[iI](?:llegal|nvalid) user .* from <HOST>\s*$
|  [6] ^\s*(?:\S+ )?(?:@vserver_\S+ )?(?:(?:\[\d+\])?:\s+[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?|[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?(?:\[\d+\])?:)?\s*User .+ from <HOST> not allowed because not listed in AllowUsers$
|  [7] ^\s*(?:\S+ )?(?:@vserver_\S+ )?(?:(?:\[\d+\])?:\s+[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?|[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?(?:\[\d+\])?:)?\s*authentication failure; logname=\S* uid=\S* euid=\S* tty=\S* ruser=\S* rhost=<HOST>(?:\s+user=.*)?\s*$
|  [8] ^\s*(?:\S+ )?(?:@vserver_\S+ )?(?:(?:\[\d+\])?:\s+[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?|[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?(?:\[\d+\])?:)?\s*refused connect from \S+ \(<HOST>\)\s*$
|  [9] ^\s*(?:\S+ )?(?:@vserver_\S+ )?(?:(?:\[\d+\])?:\s+[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?|[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?(?:\[\d+\])?:)?\s*Address <HOST> .* POSSIBLE BREAK-IN ATTEMPT!*\s*$
|  [10] ^\s*(?:\S+ )?(?:@vserver_\S+ )?(?:(?:\[\d+\])?:\s+[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?|[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?(?:\[\d+\])?:)?\s*User .+ from <HOST> not allowed because none of user's groups are listed in AllowGroups\s*$
|
`- Number of matches:
   [1] 0 match(es)
   [2] 0 match(es)
   [3] 1 match(es)
   [4] 0 match(es)
   [5] 0 match(es)
   [6] 0 match(es)
   [7] 0 match(es)
   [8] 0 match(es)
   [9] 0 match(es)
   [10] 0 match(es)

Ignoreregex
|- Regular expressions:
|
`- Number of matches:

Summary
=======

Addresses found:
[1]
[2]
[3]
    127.0.0.1 (Mon Sep 17 16:29:48 2012)
[4]
[5]
[6]
[7]
[8]
[9]
[10]

Date template hits:
8721 hit(s): MONTH Day Hour:Minute:Second
0 hit(s): WEEKDAY MONTH Day Hour:Minute:Second Year
0 hit(s): WEEKDAY MONTH Day Hour:Minute:Second
0 hit(s): Year/Month/Day Hour:Minute:Second
0 hit(s): Day/Month/Year Hour:Minute:Second
0 hit(s): Day/Month/Year Hour:Minute:Second
0 hit(s): Day/MONTH/Year:Hour:Minute:Second
0 hit(s): Month/Day/Year:Hour:Minute:Second
0 hit(s): Year-Month-Day Hour:Minute:Second
0 hit(s): Day-MONTH-Year Hour:Minute:Second[.Millisecond]
0 hit(s): Day-Month-Year Hour:Minute:Second
0 hit(s): TAI64N
0 hit(s): Epoch
0 hit(s): ISO 8601
0 hit(s): Hour:Minute:Second
0 hit(s): <Month/Day/Year@Hour:Minute:Second>

Success, the total number of match is 1

However, look at the above section 'Running tests' which could contain important
information.



[rumit]

Спасибо! Теперь понятно как проверять.

[VinnyPooh]

Сию проблему решаю заходом на SSH сервер с ключём.
+ настройка файервола на доступ с определенных IP адресов.