Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

Większe zabezpieczenie - fail2ban.actions

https://www.debian.pl/viewtopic.php?t=33926

Strona 1 z 1

Większe zabezpieczenie - fail2ban.actions

: 30 maja 2016, 12:32
autor: pawliniak
Witam serdecznie użytkowników.
Jestem początkującym użytkownikiem systemu debian. Jako iż staram się zapobiegać niż leczyć chciałbym zapytać was czy takie zachowania są poprawne. Posiadam spory serwis który ma ciągłe ataki ddos.

Kod: Zaznacz cały

2016-05-29 05:38:20,269 fail2ban.actions[662]: WARNING [ssh] Unban 219.76.189.146
2016-05-29 05:38:39,292 fail2ban.actions[662]: WARNING [ssh] Ban 219.76.189.146
2016-05-29 05:48:39,852 fail2ban.actions[662]: WARNING [ssh] Unban 219.76.189.146
2016-05-29 05:48:59,876 fail2ban.actions[662]: WARNING [ssh] Ban 219.76.189.146
2016-05-29 05:59:00,449 fail2ban.actions[662]: WARNING [ssh] Unban 219.76.189.146
2016-05-29 05:59:20,475 fail2ban.actions[662]: WARNING [ssh] Ban 219.76.189.146
2016-05-29 06:09:21,043 fail2ban.actions[662]: WARNING [ssh] Unban 219.76.189.146
2016-05-29 06:09:42,067 fail2ban.actions[662]: WARNING [ssh] Ban 219.76.189.146
2016-05-29 06:19:42,639 fail2ban.actions[662]: WARNING [ssh] Unban 219.76.189.146
2016-05-29 08:33:24,103 fail2ban.actions[662]: WARNING [ssh] Ban 185.110.132.201
2016-05-29 08:43:24,673 fail2ban.actions[662]: WARNING [ssh] Unban 185.110.132.201
2016-05-29 08:48:06,972 fail2ban.actions[662]: WARNING [pureftpd] Ban 180.175.79.54
2016-05-29 08:58:07,526 fail2ban.actions[662]: WARNING [pureftpd] Unban 180.175.79.54
2016-05-29 10:37:34,122 fail2ban.actions[662]: WARNING [ssh] Ban 74.208.149.78
2016-05-29 10:47:34,701 fail2ban.actions[662]: WARNING [ssh] Unban 74.208.149.78
Po tych atakach zmieniłem INFO Set banTime = 6000

Kod: Zaznacz cały

2016-05-29 21:09:32,791 fail2ban.actions[20460]: WARNING [ssh] Ban 91.224.160.49
2016-05-29 22:49:04,452 fail2ban.actions[20460]: WARNING [ssh] Ban 74.208.74.172
2016-05-29 22:49:33,483 fail2ban.actions[20460]: WARNING [ssh] Unban 91.224.160.49
2016-05-30 00:29:05,069 fail2ban.actions[20460]: WARNING [ssh] Unban 74.208.74.172
Z góry dziękuje za informacje

Re: Większe zabezpieczenie - fail2ban.actions

: 30 maja 2016, 12:53
autor: dedito
Zmiana portów ssh i ftp?
Permanent ban?

Re: Większe zabezpieczenie - fail2ban.actions

: 30 maja 2016, 14:04
autor: pawliniak
dedito pisze:Zmiana portów ssh i ftp?
Permanent ban?
Myślisz, że ten poradnik powinien być odpowiedni do zabezpieczenia ssh? https://blog.kowalsio.com/2009/07/22/za ... rwera-ssh/

Co konkretnie powiniem wpisać aby blokada była permanetna?

Re: Większe zabezpieczenie - fail2ban.actions

: 30 maja 2016, 14:09
autor: dedito
Najlepiej korzystaj z Wiki Debiana i wbudowanej dokumentacji (man).
Permanentna blokada na firewallu.

Re: Większe zabezpieczenie - fail2ban.actions

: 31 maja 2016, 10:47
autor: lizard
dedito pisze:Permanentna blokada na firewallu.
To nie jest dobry sposób, bo adresów do blokowania będzie przybywać, a reguły iptables się rozrastać tak, że ciężko będzie się w nich połapać.

Wyciąg z logów pokazuje, że fail2ban spełnia swoją funkcję. Dodatkowo można w nim ustawić dłuższą blokadę dla recydywistów w sekcji [recidive] w pliku /etc/fail2ban/jail.conf.

Re: Większe zabezpieczenie - fail2ban.actions

: 31 maja 2016, 16:08
autor: pawkrol
Ponadto musisz ssh otwierać na cały świat ?
Może wystarczy dla określonych adresów, zmień też domyślny port na wysoki.
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl