Fail2Ban

Jön a fail2ban telepítése:
(Nagyon hasznos kis segédprogram a brute-force támadások ellen.)

apt-get install fail2ban

Létrehozunk egy konfig fájlt, amelyben megadjuk, hogy mely szolgáltatásokat szeretnénk felügyelni:

nano /etc/fail2ban/jail.local

Másoljuk be a következőket az imént létrehozott fájlba:

[pureftpd]

enabled = true
port = ftp
filter = pureftpd
logpath = /var/log/syslog
maxretry = 3


[sasl]

enabled = true
port = smtp
filter = sasl
logpath = /var/log/mail.log
maxretry = 5


[courierpop3]

enabled = true
port = pop3
filter = courierpop3
logpath = /var/log/mail.log
maxretry = 5


[courierpop3s]

enabled = true
port = pop3s
filter = courierpop3s
logpath = /var/log/mail.log
maxretry = 5


[courierimap]

enabled = true
port = imap2
filter = courierimap
logpath = /var/log/mail.log
maxretry = 5


[courierimaps]

enabled = true
port = imaps
filter = courierimaps
logpath = /var/log/mail.log
maxretry = 5

Hozzunk létre 5 szűrő fájlt a fenti folyamatokhoz:

Első:

nano /etc/fail2ban/filter.d/pureftpd.conf

Tartalma a következő legyen:

[Definition]
failregex = .*pure-ftpd: \(.*@<HOST>\) \[WARNING\] Authentication failed for user.*
ignoreregex =

Második:

nano /etc/fail2ban/filter.d/courierpop3.conf

Tartalma a következő legyen:

[Definition]
failregex = pop3d: LOGIN FAILED.*ip=\[.*:<HOST>\]
ignoreregex =

Harmadik:

nano /etc/fail2ban/filter.d/courierpop3s.conf

Tartalma a következő legyen:

[Definition]
failregex = pop3d-ssl: LOGIN FAILED.*ip=\[.*:<HOST>\]
ignoreregex =

Negyedik:

nano /etc/fail2ban/filter.d/courierimap.conf

Tartalma a következő legyen:

[Definition]
failregex = imapd: LOGIN FAILED.*ip=\[.*:<HOST>\]
ignoreregex =

Ötödik:

nano /etc/fail2ban/filter.d/courierimaps.conf

Tartalma a következő legyen:

[Definition]
failregex = imapd-ssl: LOGIN FAILED.*ip=\[.*:<HOST>\]
ignoreregex =

Ha ezekkel megvagyunk, akkor indítsuk újra a fail2ban-t:

/etc/init.d/fail2ban restart

A cikk még nem ért véget, kérlek, lapozz!