Безопасность web-ресурсов на сервере..

[crp.518]

Здравствуйте, появилась потребность защитить веб ресурсы (webmin, phpmyadmin) От брутфорса, посредством чего можно  осуществить защиту, Принцип работы нужен как у fail2ban, то есть 2-3 не правильно ввели пароль - бан 600 сек.

[Karl500]

Ну так fail2ban и используйте. Напишите правило для него на основе логов сервера - и все.

[crp.518]

Помогите мне в этом )
Предположим, нужно чтоб файл2бан отслеживал попытки входа к webmin, (10000 - port)
По моим догадкам нужно проделать следующее:
в дериктории /etc/fail2ban/filter.d создать файл webmin-auth.conf со след.содержимым:

Код: [Выделить]

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
# Rule by : Delvit Guillaume
#
#

[Definition]

# patern :      webmin[15673]: Non-existent login as toto from 86.0.6.217
#               webmin[29544]: Invalid login as root from 86.0.6.217
#
# Option:  failregex
# Notes.:  regex to match the password failure messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values:  TEXT
#
failregex = webmin.* Non-existent login as .+ from <HOST>\s*$
            webmin.* Invalid login as .+ from <HOST>\s*$

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =
Далее в etc/fail2ban/jail.conf добавил след запись:

Код: [Выделить]

[webmin-auth]

enabled  = true
port     = 10000
filter   = webmin-auth
logpath  = [u]суда не знаю что правильно будет написать писать, т.к не знаю путь логов[/u]
maxretry = 3
Перезагрузил fail2ban, пробовать не стал...

[avi9526]

Для начала протестируй правило

Код: [Выделить]

fail2ban-regex /var/log/ФАЙЛ_ЖУРНАЛА.log /etc/fail2ban/filter.d/webmin-auth.conf

[crp.518]

Для начала протестируй правило

Код: [Выделить]

fail2ban-regex /var/log/[u][color=red]ФАЙЛ_ЖУРНАЛА.log[/color][/u] /etc/fail2ban/filter.d/webmin-auth.conf

Что написать вместо файл_журнала?
Пользователь решил продолжить мысль 22 Декабря 2013, 16:18:11:Там от webmina нет

[Karl500]

fail2ban принимает решение, банить кого-то или нет, на основе анализа файла журнала (какого скажете). Соответственно, нужно знать, что именно и в какой лог-файл пишется при попытке несанкционированного доступа. Если ничего никуда не пишется - нужно сконфигурировать требуемый сервис, чтобы писалось.

webmin-ом никогда не пользовался, понятия не имею, что и куда он пишет при таких попытках.

[crp.518]

Фаил2бан не банит лично, он лишь передает кого банить.. Ладно буду разбираться. Cпасибо за помощь)

[Karl500]

А я разве утверждал обратное?

[crp.518]

Ладно буду разбираться. Cпасибо за помощь)

...

[Karl500]

Легкое гугление выдало кучу ссылок, например: http://forum.etherway.ru/index.php?showtopic=59622
Скорее всего, потребуется совсем чуть-чуть поработать напильником.

[crp.518]

Ага спасибо, пока что не занимался этим, много работы. Ну чуть позже обязательно рассмотрю это...