Como fazer proibições persistente no Fail2Ban.

Categories: Outros, Segurança
Tags: No Tags
Comments: No Comments
Published on: 7 de dezembro de 2013

Recentemente eu comecei a utilizar o fail2ban na intenção de coibir os diversos ataques aos meu servidores ToIP. É ótimo porque ele olha para os logs e se uma entrada corresponde a uma expressão regular, então ele executa uma ação sobre o endereço IP a partir do registro. Você pode fazer que as ações faça praticamente qualquer coisa, normalmente a ação é uma regra de iptables que vai proibir o IP que esta lhe incomodando. O problema é quando você reiniciar o serviço fail2ban. O fail2ban limpa a cadeia para o filtro e analisa o log atual para os novos jogos, e não os registros ja rotacionados. Então você não vai banir todos os IPs que foram proibidos antes de reiniciar o Fail2ban, ou seja com o log antigo.

Você pode fazer as proibições persistente através da criação de uma lista negra e automaticamente carregá-los quando fail2ban é reiniciado. Primeiro, você precisa criar um arquivo para armazenar IPs na lista negra.

Em seguida, você pode fazer uma copia do arquivo “/etc/fail2ban/action.d/iptables-multiport.conf” logo depois edite o arquivo e faça as alterações a seguir.

No arquivo de configuração de ação você tem algumas diretivas diferentes, queremos focar duas. O “actionstart” e o “actionban”. Primeiro, quando o fail2ban proíbe um IP que queremos não só proibi-lo, mas nós queremos adicionar o endereço IP para o arquivo “ip.blacklist”.

Esta é a diretiva “actionstart“:

Então, nós queremos ter certeza de que a regra de iptables é adicionado quando fail2ban é iniciado, por isso adicione as seguintes linhas de código para a diretiva “actionban”:

É isso aí, uma vez que você reiniciar seu sistema o fail2ban irá banir automaticamente todos os IPs em seu arquivo “ip.blacklist”.

Angelo Delphini

This is not a bug, it’s a feature!

 

No Comments - Leave a comment

Leave a comment

O seu endereço de email não será publicado Campos obrigatórios são marcados *

Please copy the string lJwktU to the field below:


Welcome , today is sábado, 25 de fevereiro de 2017