Oramai praticamente ogni server collegato ad internet e’ costantemente sotto attacco per mezzo di attivita' di hackeraggio che mirano a trovare una porta di accesso al sistema. I bersagli piu' comuni sono I servizi SSH, SMTP, HTTP ed FTP.
Questa guida spiega come utilizzare Fail2ban per prevenire e bloccare attacchi automatizzati che tentano di trovare una coppia utente/password valida per accedere ai piu' comuni servizi normalmente in esecuzione su di un server.
Installazione ed utilizzo di Fail2banSupponendo di essere in un sistema Debian/Ubuntu, procediamo ad aggiornare ed installare eventuali nuove versioni del software installato sul server:
apt-get update
apt-get upgrade --show-upgradedProcediamo quindi ad installare Fail2ban:
apt-get install fail2banOra apriamo il file di configurazione di Fail2ban utilizzando il nostro edito preferito (nano nel nostro caso):
nano /etc/fail2ban/jail.conf ed abilitiamo il controllo sugli accessi ai vari servizi. Il controllo si SSH e’ attivato di default.
Le seguenti sono alcune variabili che possiamo utilizzare per customizzare l’installazione:
ignoreip: per evitare di “chiuderci” fuori dal sistema indichiamo l’IP del nostro ufficio o casa (supponendo di disporre di un IP fisso).
bantime: specifica la durata del ban sugli IP malevoli.
maxretry: indica il numero di tentativi concessi prima che una IP venga bannato.
Fail2ban mantiene un log degli accessi falliti su questo file:
/var/log/fail2ban.logOgni volta che un IP eccede il numero massimo di tentatevi, viene allora bannato e loggato sul file qua sopra.
Maggiori informazioniMaggiori informazioni sono disponibili ai seguenti indirizzi:
Fail2ban Project Site Fail2ban Manual Page
