Instalação do Fail2Ban no CentOS 7

renizgo

O Fail2Ban é conhecido como uma ferramenta simples e segura para evitar ataques de "Brute Force", onde o atacante tenta de inúmeras formas acesso a um sistema. Com o Fail2Ban monitorando estas conexões, automaticamente cria regras de Firewall temporárias para banir este tipo de acesso.

[ Hits: 15.559 ]

Por: Renato Diniz Marigo em 01/06/2016 | Blog: http://www.renatomarigo.com.br

6 0
Denuncie   Favoritos   Indicar   Impressora

Introdução



O Fail2Ban é um aplicativo escrito em Python utilizado para monitorar logs de serviços, verificando as tentativas de conexão sem sucesso e encontrando algo suspeito. Pode bloquear de forma pró-ativa os possíveis ataques adicionando regras de Firewall para proteção.

O Fail2Ban é conhecido como um ferramenta simples e segura para evitar ataques de Brute Force, onde o atacante tenta de inúmeras formas acesso a um sistema. Com o Fail2Ban monitorando estas conexões, automaticamente cria regras de Firewall temporárias para banir este tipo de acesso.

Mais informações do projeto, podem ser encontradas em:
Neste artigo, iremos abordar a instalação em um servidor CentOS 7.

Requisitos

Como o Fail2Ban foi escrito em Python, ele depende da instalação do Python 2.3 ou superior.

O Python já vem embarcado no Linux e para verificar a versão instalada, digite:

# python -V
Python 2.7.5

Caso não esteja instalado, o que é muito difícil, instale através do gerenciador de pacotes yum:

# yum install python

Precisamos do pacote wget, que pode ser instalado com o comando:

# yum install wget

Instalação

A instalação pode ser feita através do código fonte:

# wget https://sourceforge.net/projects/fail2ban/files/fail2ban-stable/fail2ban-0.8.11/fail2ban-0.8.11.tar.gz

Obs.: verificar se não existe alguma versão atualizada da versão stable:
Descompactando o arquivo:

# tar -xvzf fail2ban-0.8.11.tar.gz
# cd /fail2ban-0.8.11
# python setup.py install

A instalação também pode ser feita através do gerenciador de pacotes yum, apontando para o site onde possui o pacote ".rpm":

# yum localinstall http://mirror.globo.com/epel//7/x86_64/f/fail2ban-server-0.9.3-1.el7.noarch.rpm

O arquivo de configuração "fail2ban.conf", possui duas configurações importantes:

# vim /etc/fail2ban/fail2ban.conf

[Definition]

# Option: loglevel
# Notes.: Set the log level output.
#         CRITICAL
#         ERROR
#         WARNING
#         NOTICE
#         INFO
#         DEBUG
# Values: [ LEVEL ]  Default: ERROR
#
loglevel = INFO

# Option: logtarget
# Notes.: Set the log target. This could be a file, SYSLOG, STDERR or STDOUT.
#         Only one log target can be specified.
#         If you change logtarget from the default value and you are
#         using logrotate -- also adjust or disable rotation in the
#         corresponding configuration file
#         (e.g. /etc/logrotate.d/fail2ban on Debian systems)
# Values: [ STDOUT | STDERR | SYSLOG | FILE ]  Default: STDERR
#
logtarget = /var/log/fail2ban.log

Obs.: o campo loglevel determina o tipo de informação que deseja no LOG. O campo logtarget determina o local onde será salvo este LOG.

O maior número de configurações encontra-se no arquivo /etc/jail.conf, as mais importantes são:

# vim /etc/fail2ban/jail.conf 

ignoreip = 127.0.0.1/8

Neste campo, você pode usar os endereços ou range de sua rede local e endereços de DNS, separados por vírgula, com o intuito de se serem ignorados pela análise do Fail2Ban. 

bantime  = 600

Neste campo, é definido o número em segundo em que o host será banido. 

maxretry = 5

Neste campo, é definido a quantidade máxima de tentativas sem sucesso aceitas antes de banir o host. 

destemail = root@localhost
sender = root@localhost

Nestes campos, caso o SMTP esteja configurado, você pode colocar o e-mail de destino e o e-mail que enviará as notificações. 

banaction = iptables-multiport

Neste campo, mostra que o método padrão de configuração para realizar o bloqueio é o IPtables.

Os serviços gerenciados pelo Fail2Ban ficam no diretório /etc/fail2ban/filter.d/ e pode ser configurado os serviços que desejar.

Exemplo de configurações instaladas por padrão:

# ls /etc/fail2ban/filter.d/
apache-auth.conf
apache-common.conf
nagios.conf
nginx-http-auth.conf
etc.

Para exemplificar, vou mostrar a configuração do bloqueio do serviço SSH.

# vim /etc/fail2ban/jail.conf 

[ssh]

enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
sendmail-whois[name=SSH, dest=renato@renato.com.br, sender=renato@renato.com.br]

Dentro do arquivo "jail.conf", existe um bloco para tratar diversos serviços e este bloco para tratar do serviço do SSH.

Explicação dos campos:
  • Enable = Este campo é usado para habilitar ou desabilitar o serviço.
  • Port = Este campo é usado para definir a porta que o serviço utiliza.
  • Filter = Este campo define um nome para este filtro.
  • Logpath = Este campo define o caminho completo de onde o LOG do serviço será salvo.
  • Maxretry = Este campo define o número máximo de tentativas de tentativas de acesso.
  • Sendmail-whois = Este campo define a configuração do envio de mensagens.

Após todo o processo de configuração, não se esqueça de iniciar o serviço:

# service fail2ban start

Configurar o serviço para o início automático do sistema:

# chkconfig fail2ban on

Conclusão

Este é um excelente modo de banir ataques de "brute force" e, com alguns ajustes, você pode ampliar estas configurações para diversos outros tipos de serviços.

Espero ter ajudado!

   

Páginas do artigo
   1. Introdução
Outros artigos deste autor

Instalação do Docker no CentOS 7

Introdução ao Shell Script

WordPress com Docker

Tutorial de instalação do Squid no CentOS

Nagios 3 + NagiosQL no Ubuntu Server 12.04

Leitura recomendada

OUTGUESS: Oculte mensagens em fotos

Criptografia chave simétrica de bloco e de fluxo

Vault: SSH com OneTimePassword

Trilhas de Certificação em Segurança da Informação - Qual caminho seguir?

From Deploy WAR (Tomcat) to Shell (FreeBSD)

  
Comentários
[1] Comentário enviado por removido em 01/06/2016 - 21:25h

Ola.

O pacote dele esta disponível no repositório EPEL, então outra forma de instalar mantendo as

1 - Habilitar o epel:

yum install -y epel-release

1 - Instalar direto com o yum

yum install -y fail2ban


*Sou artigo ficou simples e direto, favoritado.


------------------------------------------------------
KISS principle, RTFM and STFW = 42


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Compartilhando a tela do Computador no Celular via Deskreen

Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

O mínimo que você precisa saber sobre o terminal (parte 2)

O mínimo que você precisa saber sobre o terminal (parte 1)

Dicas

Como renomear arquivos de letras maiúsculas para minúsculas

Imprimindo no formato livreto no Linux

Vim - incrementando números em substituição

Efeito "livro" em arquivos PDF

Como resolver o erro no CUPS: Unable to get list of printer drivers

Tópicos

Excluir banco de dados no xampp (1)

phpmyadmin não abre no xampp (2)

Ubuntu não sai som (0)

KeepOS Não consigo usar o comando sudo. (4)

Erro no "magic number" do ventoy [RESOLVIDO] (1)

Top 10 do mês

Scripts

[Python] Automação de scan de vulnerabilidades

[Python] Script para analise de superficie de ataque

[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

[Shell Script] Script para adicionar bordas às imagens de uma pasta

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: