Większe zabezpieczenie - fail2ban.actions

Zagadnienia bezpieczeństwa w systemie
pawliniak
Posty: 3
Rejestracja: 30 maja 2016, 12:22

Większe zabezpieczenie - fail2ban.actions

Post autor: pawliniak »

Witam serdecznie użytkowników.
Jestem początkującym użytkownikiem systemu debian. Jako iż staram się zapobiegać niż leczyć chciałbym zapytać was czy takie zachowania są poprawne. Posiadam spory serwis który ma ciągłe ataki ddos.

Kod: Zaznacz cały

2016-05-29 05:38:20,269 fail2ban.actions[662]: WARNING [ssh] Unban 219.76.189.146
2016-05-29 05:38:39,292 fail2ban.actions[662]: WARNING [ssh] Ban 219.76.189.146
2016-05-29 05:48:39,852 fail2ban.actions[662]: WARNING [ssh] Unban 219.76.189.146
2016-05-29 05:48:59,876 fail2ban.actions[662]: WARNING [ssh] Ban 219.76.189.146
2016-05-29 05:59:00,449 fail2ban.actions[662]: WARNING [ssh] Unban 219.76.189.146
2016-05-29 05:59:20,475 fail2ban.actions[662]: WARNING [ssh] Ban 219.76.189.146
2016-05-29 06:09:21,043 fail2ban.actions[662]: WARNING [ssh] Unban 219.76.189.146
2016-05-29 06:09:42,067 fail2ban.actions[662]: WARNING [ssh] Ban 219.76.189.146
2016-05-29 06:19:42,639 fail2ban.actions[662]: WARNING [ssh] Unban 219.76.189.146
2016-05-29 08:33:24,103 fail2ban.actions[662]: WARNING [ssh] Ban 185.110.132.201
2016-05-29 08:43:24,673 fail2ban.actions[662]: WARNING [ssh] Unban 185.110.132.201
2016-05-29 08:48:06,972 fail2ban.actions[662]: WARNING [pureftpd] Ban 180.175.79.54
2016-05-29 08:58:07,526 fail2ban.actions[662]: WARNING [pureftpd] Unban 180.175.79.54
2016-05-29 10:37:34,122 fail2ban.actions[662]: WARNING [ssh] Ban 74.208.149.78
2016-05-29 10:47:34,701 fail2ban.actions[662]: WARNING [ssh] Unban 74.208.149.78
Po tych atakach zmieniłem INFO Set banTime = 6000

Kod: Zaznacz cały

2016-05-29 21:09:32,791 fail2ban.actions[20460]: WARNING [ssh] Ban 91.224.160.49
2016-05-29 22:49:04,452 fail2ban.actions[20460]: WARNING [ssh] Ban 74.208.74.172
2016-05-29 22:49:33,483 fail2ban.actions[20460]: WARNING [ssh] Unban 91.224.160.49
2016-05-30 00:29:05,069 fail2ban.actions[20460]: WARNING [ssh] Unban 74.208.74.172
Z góry dziękuje za informacje
Awatar użytkownika
dedito
Moderator
Posty: 3512
Rejestracja: 18 listopada 2013, 21:07
Lokalizacja: Gliwice

Re: Większe zabezpieczenie - fail2ban.actions

Post autor: dedito »

Zmiana portów ssh i ftp?
Permanent ban?
pawliniak
Posty: 3
Rejestracja: 30 maja 2016, 12:22

Re: Większe zabezpieczenie - fail2ban.actions

Post autor: pawliniak »

dedito pisze:Zmiana portów ssh i ftp?
Permanent ban?
Myślisz, że ten poradnik powinien być odpowiedni do zabezpieczenia ssh? https://blog.kowalsio.com/2009/07/22/za ... rwera-ssh/

Co konkretnie powiniem wpisać aby blokada była permanetna?
Awatar użytkownika
dedito
Moderator
Posty: 3512
Rejestracja: 18 listopada 2013, 21:07
Lokalizacja: Gliwice

Re: Większe zabezpieczenie - fail2ban.actions

Post autor: dedito »

Najlepiej korzystaj z Wiki Debiana i wbudowanej dokumentacji (man).
Permanentna blokada na firewallu.
Awatar użytkownika
lizard
Beginner
Posty: 287
Rejestracja: 08 lutego 2016, 18:47

Re: Większe zabezpieczenie - fail2ban.actions

Post autor: lizard »

dedito pisze:Permanentna blokada na firewallu.
To nie jest dobry sposób, bo adresów do blokowania będzie przybywać, a reguły iptables się rozrastać tak, że ciężko będzie się w nich połapać.

Wyciąg z logów pokazuje, że fail2ban spełnia swoją funkcję. Dodatkowo można w nim ustawić dłuższą blokadę dla recydywistów w sekcji [recidive] w pliku /etc/fail2ban/jail.conf.
Awatar użytkownika
pawkrol
Moderator
Posty: 939
Rejestracja: 03 kwietnia 2011, 10:25

Re: Większe zabezpieczenie - fail2ban.actions

Post autor: pawkrol »

Ponadto musisz ssh otwierać na cały świat ?
Może wystarczy dla określonych adresów, zmień też domyślny port na wysoki.
Zablokowany