Bloqueio de repetidas tentativas de login ao seu Linux
Esse artigo mostra como implementar um sistema de segurança para bloqueio de ataques brute-force em seu servidor SSH. Ao mesmo tempo também mostra como criar um esquema para permitir acesso remoto (para manutenção) a partir de qualquer IP da internet.
Parte 4: Instalação do fail2ban - Debian like
É um dos softwares de segurança mais fáceis de se instalar e de
configurar. Caso você esteja utilizando Debian (ou Kurumin ou outra distro Debian-like), instale a partir de:
# apt-get install fail2ban
Ou entre em:
Na parte de downloads, clique em all.
Você será direcionado para uma lista de mirrors, escolha o que você achar mais bonitinho e salve o arquivo .deb em algum lugar na sua máquina.
Para instalar, entre em um terminal como root e rode um:
# dpkg -i fail2ban_x.x.x-x_all.deb
E quase mais nada é necessário fazer, a não ser editar o arquivo de configuração e informar o range de IPs que você quer que ele ignore no monitoramento (cuidado para não escancarar demais... recomendo somente o range da sua rede local).
Na página do projeto (2) existem binários prontos para as distribuições Debian, Gentoo e Red Hat, além do source para as demais distribuições. Segundo as instruções constantes no arquivo README, para instalar a partir dos sources é só rodar o seguinte comando dentro do diretório da instalação:
# python setup.py install
(não testei e não sei o que pode dar errado!!!)
Para maiores informações sobre o processo de instalação manual ou pegar o código-fonte do projeto, acesse:
# apt-get install fail2ban
Ou entre em:
Na parte de downloads, clique em all.
Você será direcionado para uma lista de mirrors, escolha o que você achar mais bonitinho e salve o arquivo .deb em algum lugar na sua máquina.
Para instalar, entre em um terminal como root e rode um:
# dpkg -i fail2ban_x.x.x-x_all.deb
E quase mais nada é necessário fazer, a não ser editar o arquivo de configuração e informar o range de IPs que você quer que ele ignore no monitoramento (cuidado para não escancarar demais... recomendo somente o range da sua rede local).
Na página do projeto (2) existem binários prontos para as distribuições Debian, Gentoo e Red Hat, além do source para as demais distribuições. Segundo as instruções constantes no arquivo README, para instalar a partir dos sources é só rodar o seguinte comando dentro do diretório da instalação:
# python setup.py install
(não testei e não sei o que pode dar errado!!!)
Para maiores informações sobre o processo de instalação manual ou pegar o código-fonte do projeto, acesse:
Eu gostaria de citar outros dois softwares que utilizo para bloquear IP´s de atacantes em meu servidor:
APF Firewall
http://www.rfxnetworks.com/apf.php
Descrição: Firewall baseado em IPTables de fácil configuração e muito eficiente. A configuração é feita através de um .conf simples onde são informadas as portas a serem liberadas/bloqueadas, além de outras funcionalidades tanto para portas tcp como udp, além de bloquear ataques via ICMP (Denial of Service por exemplo) pois possui embutido um "anti-DOS". Utiliza a lista negras de IP´s que é atualizada frequentemente através do site www.dshiel.org (Distributed Intrusion Detection System), onde constam os IP´s utilizados com maior frequência para fins ilícitos.
-------------------------------------------
BFD - Brute Force Detect
http://www.rfxnetworks.com/bfd.php
Descrição: Em conjunto com o APF Firewall, detecta tentativas de acesso não autorizada a serviços como SSH, Apache, EXIM, FTP, etc. Após 5 tentativas de acesso sem sucesso, o IP de origem é "dropado" no IpTables e o administrador do servidor pode ser avisado por e-mail.
Ambos são desenvolvidos pelo RFX Networks e são free e de uso irrestrito. Não é preciso manjar de IpTables, basta saber quais portais você quer liberar/fechar e eles fazem o trabalho.
É isso ai!
Abraço, Fernando.