Differences

This shows you the differences between two versions of the page.

--- doc:appunti:linux:sa:fail2ban [2023/10/30 09:41] – niccolo
+++ doc:appunti:linux:sa:fail2ban [2025/07/04 11:14] (current) – [Integrazione con shorewall] niccolo
@@ Line 5: / Line 5: @@
 Appena si installa il pacchetto vengono automaticamente abilitate delle regole, ad esempio per bloccare gli IP che falliscono l'accesso ssh.
-Esiste un demone in esecuzione che può essere avviato/fermato con:
+Con Debian che utilizza Systemd (cioè dalla release 8 Jessie), è possibile avviare (o fermare, o disabilitare) il servizio con comandi del tipo:
 <code>
-/etc/init.d/fail2ban {start|stop}
+systemctl start fail2ban.service
 </code>
+===== Integrazione con shorewall =====
+La configurazione predefinita del pacchetto Debian prevede che l'azione di bloccare un determinato indirizzo IP venga effettuato con una opportuna regola **iptables** aggiunta a runtime. Se si è installato un gestore di iptables, come ad esempio **Shorewall**, è necessario cambiare la configurazione di fail2ban in modo che l'azione di ban e unban sia coerente con il sistema Shorewall.
+Le impostazioni predefinite sono generalmente in ''/etc/fail2ban/jail.conf''. La personalizzazione può essere fatta in un file **/etc/fail2ban/jail.d/custom.local**. L'estensione .local fa sì che il file venga letto dopo i file .conf e che le sue impostazioni sostituiscano i default (a parità di estensione viene considerato anche l'ordine alfabetico). In questo file si possono configurare alcune delle impostazioni generali che vanno a
+<file>
+[DEFAULT]
+ignoreip = 185.211.173.7 127.0.0.1/8 ::1
+bantime  = 3600
+findtime  = 60
+maxretry = 10
+destemail = sysadmin@rigacci.org
+sender = sysadmin@rigacci.org
+banaction = shorewall
+banaction_allports = shorewall
+</file>
+Se si cambia il file di configurazione dovrebbe bastare il **reload** del servizio.
 ====== fail2ban-client 0.11 ======
@@ Line 21: / Line 41: @@
 </code>
-È possibile anche entrare nel dettaglio delle azioni configurate per un certo //jail// (servizio monitorato che può essere bloccato). Ad esempio per il servizio sshd è stata configurata l'azione **iptables-multiport**:
+Per vedere lo stato di un jail:
+<code>
+fail2ban-client status sshd
+Status for the jail: sshd
+|- Filter
+|  |- Currently failed: 9
+|  |- Total failed:     18338
+|  `- File list:        /var/log/auth.log
+`- Actions
+   |- Currently banned: 6
+   |- Total banned:     413
+   `- Banned IP list:   182.72.235.172 41.226.27.59 45.88.8.95 94.23.149.231
+</code>
+È possibile anche entrare nel dettaglio delle azioni configurate per un certo //jail// (il servizio monitorato che può essere bloccato). Ad esempio per il servizio sshd si scopre che è stata configurata l'azione **iptables-multiport**:
 <code>
@@ Line 37: / Line 72: @@
 ====== fail2ban-client 0.9 ======
+:!: **ATTENZIONE**! Questa sintassi è obsoleta, dalla versione 0.10 di Fail2ban (fornita con Debian 10 Buster) si deve usare la nuova sintassi.
 Il demone si controlla tramite **''fail2ban-client''** (che usa il socket ''/var/run/fail2ban/fail2ban.sock''). Per vedere quali servizi sono monitorati e lo **stato di ciascun servizio**:
@@ Line 178: / Line 215: @@
 ^ actionunban         | Action  | Azioni che sbloccano in indirizzo IP, annullando l'effetto di //actionban//.  |
-===== Integrazione con Shorewall =====
-Per modificare la configurazione predefinita si può aggiungere un file nella directory **/etc/fail2ban/jail.d/**, ad esempio **99_custom.local**. Oltre all'ordine alfabetico, i file con estensione **.local** sono processati dopo quelli con estensione **.conf**; i parametri definiti **dopo hanno la precedenza** su quelli definiti prima.
-<file>
-[DEFAULT]
-banaction = shorewall
-banaction_allports = shorewall
-</file>
 ===== Esempio per WordPress wp-login.php =====