doc:appunti:linux:sa:fail2ban
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revisionNext revisionBoth sides next revision | ||
doc:appunti:linux:sa:fail2ban [2020/10/30 11:00] – [Integrazione con Shorewall] niccolo | doc:appunti:linux:sa:fail2ban [2023/10/30 10:22] – [fail2ban] niccolo | ||
---|---|---|---|
Line 5: | Line 5: | ||
Appena si installa il pacchetto vengono automaticamente abilitate delle regole, ad esempio per bloccare gli IP che falliscono l' | Appena si installa il pacchetto vengono automaticamente abilitate delle regole, ad esempio per bloccare gli IP che falliscono l' | ||
- | Esiste un demone in esecuzione | + | Con Debian |
< | < | ||
- | /etc/init.d/fail2ban | + | systemctl start fail2ban.service |
+ | < | ||
+ | |||
+ | ====== | ||
+ | |||
+ | Il programma di controllo del servizio è **fail2ban-client**. La versione **0.11.2** fornita da Debian 11 Bullseye supporta la seguente sintassi (che è notevolmente diversa ad esempio dalla versione 0.9.6 fornita con Debian 9 Stretch). | ||
+ | |||
+ | < | ||
+ | fail2ban-client status | ||
+ | fail2ban-client banned | ||
+ | fail2ban-client unban 172.105.41.121 | ||
</ | </ | ||
+ | |||
+ | Per vedere lo stato di un jail: | ||
+ | |||
+ | < | ||
+ | fail2ban-client status sshd | ||
+ | Status for the jail: sshd | ||
+ | |- Filter | ||
+ | | |- Currently failed: 9 | ||
+ | | |- Total failed: | ||
+ | | `- File list: / | ||
+ | `- Actions | ||
+ | |- Currently banned: 6 | ||
+ | |- Total banned: | ||
+ | `- Banned IP list: | ||
+ | </ | ||
+ | |||
+ | È possibile anche entrare nel dettaglio delle azioni configurate per un certo //jail// (il servizio monitorato che può essere bloccato). Ad esempio per il servizio sshd si scopre che è stata configurata l' | ||
+ | |||
+ | < | ||
+ | fail2ban-client get sshd actions | ||
+ | The jail sshd has the following actions: | ||
+ | iptables-multiport | ||
+ | </ | ||
+ | |||
+ | È possibile anche sapere quale azione effettiva corrisponde ad esempio ad // | ||
+ | |||
+ | < | ||
+ | fail2ban-client get sshd action iptables-multiport actionban | ||
+ | < | ||
+ | </ | ||
+ | |||
+ | ====== fail2ban-client 0.9 ====== | ||
+ | |||
+ | :!: **ATTENZIONE**! Questa sintassi è obsoleta, dalla versione 0.10 di Fail2ban (fornita con Debian 10 Buster) si deve usare la nuova sintassi. | ||
Il demone si controlla tramite **'' | Il demone si controlla tramite **'' | ||
Line 135: | Line 179: | ||
^ filter | ^ filter | ||
^ port | Porta o elenco di porte separate da virgola da bloccare. Porte multiple richiedono l' | ^ port | Porta o elenco di porte separate da virgola da bloccare. Porte multiple richiedono l' | ||
- | ^ banaction | + | ^ action |
^ logpath | ^ logpath | ||
^ maxretry | ^ maxretry | ||
Line 141: | Line 185: | ||
^ bantime | ^ bantime | ||
- | ===== Integrazione con Shorewall | + | ===== Reference configurazione predefinita |
- | La configurazione predefinita di fail2ban | + | ^ Nome ^ Contesto |
+ | ^ action | ||
+ | ^ action_* | ||
+ | ^ banaction | ||
+ | ^ banaction_allports | ||
+ | ^ actionban | ||
+ | ^ actionunban | ||
- | ^ banaction | + | ===== Integrazione con Shorewall ===== |
- | ^ banaction_allports | + | |
- | ^ action | + | |
- | ^ action_ | + | |
- | ^ actionban | + | |
- | ^ actionunban | + | |
- | Per modificare la configurazione predefinita si può aggiungere un file nella directory | + | Per modificare la configurazione predefinita si può aggiungere un file nella directory **/ |
< | < | ||
Line 159: | Line 204: | ||
banaction_allports = shorewall | banaction_allports = shorewall | ||
</ | </ | ||
+ | |||
+ | ===== Esempio per WordPress wp-login.php ===== | ||
+ | |||
+ | Un caso tipico di attacco a forza bruta è quello contro il login di WordPress, nei file di log Apache si legge il tentativo che può essere in GET oppure in POST: | ||
+ | |||
+ | < | ||
+ | 185.120.86.118 - - [21/ | ||
+ | 185.120.86.118 - - [21/ | ||
+ | </ | ||
+ | |||
+ | In questo caso si agisce sull' | ||
+ | |||
+ | < | ||
+ | [Definition] | ||
+ | failregex = ^< | ||
+ | ^< | ||
+ | ^< | ||
+ | ^< | ||
+ | ignoreregex = | ||
+ | </ | ||
+ | |||
+ | Come si vede si approfitta per bloccare anche gli accessi a **xmlrpc.php**, | ||
+ | |||
+ | Quindi si definisce la regola di ban creando il file **/ | ||
+ | |||
+ | < | ||
+ | [wordpress] | ||
+ | enabled = true | ||
+ | usedns = no | ||
+ | port = http,https | ||
+ | filter = wordpress-local | ||
+ | logpath = / | ||
+ | maxretry = 4 | ||
+ | findtime = 120 | ||
+ | bantime = 7200 | ||
+ | </ | ||
+ | |||
+ | Dopo aver fatto il reload del servizio fail2ban, chi accede a '' | ||
doc/appunti/linux/sa/fail2ban.txt · Last modified: 2023/10/30 10:32 by niccolo