41 votos

Bloqueo permanente de IP después de n reintentos uso de fail2ban

Tengo un fail2ban configurado como la siguiente:

  • bloquear la ip después de 3 intentos fallidos de
  • liberar la IP después de 300 seg. de tiempo de espera

Esto funciona perfectamente y quiero mantener de esta manera tal que un usuario válido obtiene una oportunidad para volver a intentar el inicio de sesión después de que el tiempo de espera. Ahora, quiero implementar una regla donde si misma IP que se ha detectado como ataque y bloqueado, desbloqueado 5 veces, permanentemente bloquear la IP y nunca desbloquear de nuevo. Esto puede ser logrado con fail2ban solo o tengo que escribir mi propio script para hacer que?

Estoy haciendo esto en centos.

35voto

Pothi Puntos 1627

No hay ninguna característica predeterminada o una configuración en la fail2ban para lograr esto. Pero, usted está probablemente en busca de la configuración de fail2ban para controlar su propio archivo de registro. Es un proceso de dos pasos...

Paso 1

Podríamos necesidad de crear un filtro para comprobar BAN's en el archivo de registro (fail2ban del archivo de registro)

Paso 2

Necesitamos definir la cárcel, similar a la siguiente...

[fail2ban]
enabled = true
filtro = fail2ban
action = iptables-allports[nombre=fail2ban]
logpath = /ruta/a/fail2ban.registro de
# findtime: 1 día
findtime = 86400
# bantime: 1 año
bantime = 31536000

Técnicamente, es no un bloqueo permanente, sino que se bloquea por un año (que podemos aumentar demasiado).

De todos modos, para tu pregunta (¿esto se Puede lograr con fail2ban solo o tengo que escribir mi propio script para hacer que?)... la escritura de un guión propio puede funcionar bien. Configuración de la secuencia de comandos para extraer la frecuencia prohibido IPs y, a continuación, ponerlos en /etc/hosts.deny es lo que yo recomendaría.

32voto

J. Chin Puntos 125

Creo que si usted pone bantime = -1 en que sección de configuración, es un bloqueo permanente.

14voto

xaa Puntos 43

Phil Hagen escribió un excelente artículo sobre este tema. "Prohibir permanentemente a los reincidentes Con fail2ban".

Su propuesta es la misma que Pothi pero proporciona una guía paso a paso.

Esto incluye:

  • aparte lista de prohibición por la cárcel (ip.lista de bloques.ssh, ip.lista de bloques.xxx)
  • listas de prohibición cargar si reiniciar el servicio (principal ventaja de este método en mi humilde opinión)
  • notificación por correo electrónico si repetidor comprometidos.

6voto

Casey Watson Puntos 121

Para ampliar la Barbilla de la respuesta de esto es bastante simple. Acaba de editar los 2 valores en /etc/fail2ban/jail.local para que coincida con sus preferencias.

 # ban time in seconds. Use -1 for forever. Example is 1 week.
 bantime  = 604800
 # number of failures before banning
 maxretry = 5

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

X