Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: fail2ban - защита от брутфорса  (Прочитано 12355 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Karl500

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2240
    • Просмотр профиля
fail2ban - защита от брутфорса
« : 17 Сентябрь 2012, 14:54:11 »
Всегда есть ненулевая вероятность, что где-нибудь кто-нибудь выберет не столь сложный и надежный пароль, который злоумышленник сможет подобрать простым перебором.

Для защиты от такого подбора пароля (такую атаку часто называют брутфорсом - см. http://ru.wikipedia.org/wiki/%D0%9F%D0%BE%D0%BB%D0%BD%D1%8B%D0%B9_%D0%BF%D0%B5%D1%80%D0%B5%D0%B1%D0%BE%D1%80 ) есть удачное и изящное решение - fail2ban. Этот пакет есть в репозиториях, и базовая установка очень проста:

sudo apt-get install fail2ban
В состоянии сразу после установки (во всяком случае, в 10.04) защита от брутфорса по ssh включена.

Основная идея - при превышении заданного числа неудачных вводов пароля подряд (по умолчанию - 6) бан IP, с которого были попытки подбора на заданное время (по умолчанию - 600 секунд).

Параметры можно посмотреть и поменять в файле /etc/fail2ban/jail.conf. Существующие фильтры (т.е. правила, по которым определяется неудачная попытка ввода пароля) лежат в директории /etc/fail2ban/filter.d/ (можно их править или на их основе делать свои фильтры), а существующие правила реагирования - в директории /etc/fail2ban/action.d/

Все файлы довольно хорошо откомментированы.

Оффлайн ZwS

  • Редактор
  • Старожил
  • *
  • Сообщений: 1687
    • Просмотр профиля
Re: fail2ban - защита от брутфорса
« Ответ #1 : 17 Сентябрь 2012, 15:00:36 »
а почему не сюда?
Dell Inspiron One 2330 | Intel+Radeon HD7650A | 8GB RAM | Ubuntu GNOME 17.10

Оффлайн rumit

  • Активист
  • *
  • Сообщений: 485
    • Просмотр профиля
Re: fail2ban - защита от брутфорса
« Ответ #2 : 17 Сентябрь 2012, 15:03:08 »
Karl500,
Спасибо!

Lifewalker

  • Гость
Re: fail2ban - защита от брутфорса
« Ответ #3 : 17 Сентябрь 2012, 15:04:41 »
В свете последних событий крайне полезные сведения. Спасибо :)

track

  • Гость
Re: fail2ban - защита от брутфорса
« Ответ #4 : 17 Сентябрь 2012, 15:19:29 »
В свете последних событий крайне полезные сведения. Спасибо :)
Чё было? А то моя не в курсе.

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15194
    • Просмотр профиля
    • aetera.net
Re: fail2ban - защита от брутфорса
« Ответ #5 : 17 Сентябрь 2012, 15:21:52 »

Оффлайн Haron Prime

  • Почётный модератор
  • Старожил
  • *
  • Сообщений: 11313
  • Arch Linux & XMonad
    • Просмотр профиля
Re: fail2ban - защита от брутфорса
« Ответ #6 : 17 Сентябрь 2012, 15:48:33 »
Штука таки очень хорошая! Пользуюсь с тех пор, как настроил ssh доступ к компу (пару-тройку лет). С тех пор ежедневно в логах нахожу попытки несанкционированного доступа.
У меня, само собой, доступ настроен не по паролю, а по rsa-ключу, и без прав суперпользователя, но лишняя осторожность никогда не помешает. )))
Я ещё и дефолтный конфиг чуток перенастроил, уменьшив количество неудачных попыток, после которых выдаётся бан, до двух и увеличив время до 60000. ))))
Сам пользуюсь и другим советую.
« Последнее редактирование: 17 Сентябрь 2012, 15:52:12 от Haron Prime »
sudo ls -a | grep brain > /dev/head

Оффлайн rumit

  • Активист
  • *
  • Сообщений: 485
    • Просмотр профиля
Re: fail2ban - защита от брутфорса
« Ответ #7 : 17 Сентябрь 2012, 16:14:34 »
Вопрос:
[ssh]

enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 2
это понятно! а другие настройки такие как [dropbear], [pam-generic], [ssh-ddos], [apache], [apache-noscript] по умолчанию false. оставлять их отключенными или же тоже true?

Оффлайн Karl500

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2240
    • Просмотр профиля
Re: fail2ban - защита от брутфорса
« Ответ #8 : 17 Сентябрь 2012, 16:19:18 »
Это - другие фильтры. Если у Вас есть apache - включите соответствующие (только предварительно посмотрите на сами фильтры - возможно, там не вполне верные настройки) и т.п.

Кстати, есть возможность потестировать фильтры - в состав пакета входит программа fail2ban-regex. С ее помощью можно "напустить" фильтр на тот или иной лог-файл и получить на выходе информацию о срабатывании fail2ban. Крайне удобно при корректировке фильтров.

Оффлайн vselax

  • Активист
  • *
  • Сообщений: 309
    • Просмотр профиля
Re: fail2ban - защита от брутфорса
« Ответ #9 : 17 Сентябрь 2012, 16:20:13 »
Штука не плохая, но можно и самому потерять доступ к серваку, если работаешь за NAT`ом провайдера и/или имеешь динамический ip.

Оффлайн Karl500

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2240
    • Просмотр профиля
Re: fail2ban - защита от брутфорса
« Ответ #10 : 17 Сентябрь 2012, 16:22:31 »
Да. Но - только на заранее заданный период времени. Т.е. по прошествии (по умолчанию) 10 минут доступ восстановится. А брутфорс с такими (или больше) временнЫми задержками - бессмысленнен.

Оффлайн rumit

  • Активист
  • *
  • Сообщений: 485
    • Просмотр профиля
Re: fail2ban - защита от брутфорса
« Ответ #11 : 17 Сентябрь 2012, 16:24:27 »
Кстати, есть возможность потестировать фильтры - в состав пакета входит программа fail2ban-regex. С ее помощью можно "напустить" фильтр на тот или иной лог-файл и получить на выходе информацию о срабатывании fail2ban. Крайне удобно при корректировке фильтров.
а как это осуществить? объясните пожалуйста.

Оффлайн Karl500

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2240
    • Просмотр профиля
Re: fail2ban - защита от брутфорса
« Ответ #12 : 17 Сентябрь 2012, 16:32:05 »
Допустим, имеете лог-файл, в котором записаны неудачные попытки входа (/var/log/someservice.log) и имеете написанный Вами фильтр, в котором заданы regexp'ы для ловли этих попыток (/etc/fail2ban/filter.d/myfilter.conf). Тогда для проверки написанного фильтра выполните команду

fail2ban-regexp /var/log/someservice.log /etc/fail2ban/filter.d/myfilter.conf
и на выходе получите информацию о срабатывании (или не срабатывании) фильтра, что-то типа (специально сейчас попытался войти к себе с неверным паролем: вон, видите - одно срабатывание 3-го правила):

(Нажмите, чтобы показать/скрыть)

Оффлайн rumit

  • Активист
  • *
  • Сообщений: 485
    • Просмотр профиля
Re: fail2ban - защита от брутфорса
« Ответ #13 : 17 Сентябрь 2012, 16:41:41 »
Спасибо! Теперь понятно как проверять.

Оффлайн VinnyPooh

  • Почётный модератор
  • Старожил
  • *
  • Сообщений: 2577
  • В работе
    • Просмотр профиля
    • Linux для чайников (пых-пых)
Re: fail2ban - защита от брутфорса
« Ответ #14 : 01 Октябрь 2012, 22:19:05 »
Сию проблему решаю заходом на SSH сервер с ключём.
+ настройка файервола на доступ с определенных IP адресов.

 

Страница сгенерирована за 0.059 секунд. Запросов: 24.