Menú
Inicio
Foros
Nuevos mensajes
Buscar en foros
Novedades
Nuevos mensajes
Nuevos mensajes de perfil
Última actividad
Miembros
Visitantes actuales
Nuevos mensajes de perfil
Buscar mensajes de perfil
Acceder
Registrarse
Novedades
Buscar
Buscar
Buscar sólo en títulos
De:
Nuevos mensajes
Buscar en foros
Menú
Acceder
Registrarse
Install the app
Instalar
http://www.vgroupnetwork.com.ar/foro/39761-manuales-comandos-de-frecuentes-gnu-linux.html
Novedades
Foros
Informática
Sistemas Operativos
GNU/Linux
Abriendose a la Internet.
JavaScript está desactivado. Para una mejor experiencia, por favor, activa JavaScript en el navegador antes de continuar.
Estás usando un navegador obsoleto. No se pueden mostrar este u otros sitios web correctamente.
Se debe actualizar o usar un
navegador alternativo
.
Responder al tema
Mensaje
<blockquote data-quote="caudio" data-source="post: 754382" data-attributes="member: 30834"><p>Bueno.. desde ayer tengo a fail2ban funcionando en mi servidor casero, esperando por el chileno para que siga con su ataque de diccionario..</p><p>Asi que aca les paso una mini guia para instalarlo. es en Gentoo pero en ubuntu por ejemplo solo cambia la instalacion por un hermoso "apt-get install fail2ban"</p><p></p><p></p><p>En Gentoo:</p><p></p><p>[CODE]emerge fail2ban[/CODE]Luego de que se termine de compilar:</p><p></p><p>Vamos al archivo de configuracion :</p><p></p><p>/etc/fail2ban/jail.conf</p><p></p><p>y configuramos los parametros por defecto, y las jaulas que querramos activar, o sea los servicios que queremos monitorear con fail2ban</p><p></p><p>en mi caso es:</p><p></p><p>[CODE]</p><p>[DEFAULT]</p><p># ignorar los intentos desde el servidor</p><p></p><p>ignoreip = 127.0.0.1</p><p></p><p>#Tiempo por defecto del ban</p><p></p><p>bantime = 600</p><p></p><p>#Maximos intentos fallidos de logueo</p><p></p><p>maxretry = 3</p><p></p><p># Esto describe el metodo que usa fail2ban para leer los logs y modificaciones en los mismos. esta en auto por defecto</p><p></p><p>backend = auto</p><p></p><p>#Aca empiezo con la configuracion especifica de la jaula para el servidor ssh. en mi caso solo tengo ese servicio escuchando asi que solo #uso esa jaula</p><p></p><p>[ssh-iptables]</p><p></p><p>#Lo habilito</p><p>enabled = true</p><p>#Elijo el filtro a usar</p><p>filter = sshd</p><p>#La accion a tomar</p><p>action = iptables[name=SSH, port=ssh, protocol=tcp]</p><p> sendmail-whois[name=SSH, dest=mimail@midominio.com.ar, sender=fail2ban@baikonur.midominio.com.ar]</p><p># El archivo donde revisar por failed logins. Cabe destacar que este archivo puede variar de acuerdo a la configuracion del demonio sshd</p><p></p><p>logpath = /var/log/messages</p><p>#Maximos intentos fallidos.</p><p>maxretry = 5</p><p></p><p>[/CODE]Para Iniciarlo ejecutamos:</p><p></p><p>[CODE]fail2ban-client start[/CODE]Para cargar nuevas configuraciones:</p><p></p><p>[CODE]fail2ban-client reload[/CODE]Y para que inicie en nuestro gentoo al inicio del sistema:</p><p></p><p>[CODE]rc-update add fail2ban default</p><p>[/CODE]</p><p>la anterior es una configuracion muy sencilla pero que funciona para evitar el tipo de ataques descriptos anteriormente. sin ir mas lejos. intentando yo mismo desde otro server entrar con login incorrecto veo al 5 intento una hermosa regla de iptables generada en rojo:</p><p></p><p></p><p>[CODE]</p><p>baikonur fail2ban # iptables -L | grep DROP</p><p>Chain INPUT (policy DROP)</p><p>Chain FORWARD (policy DROP)</p><p>Chain OUTPUT (policy DROP)</p><p>DROP udp -- anywhere anywhere udp dpt:epmap</p><p>DROP udp -- anywhere anywhere udp dpt:microsoft-ds</p><p>DROP udp -- anywhere anywhere udp dpts:netbios-ns:netbios-ssn</p><p>DROP udp -- anywhere anywhere udp spt:netbios-ns dpts:1024:65535</p><p>DROP tcp -- anywhere anywhere tcp dpt:epmap</p><p>DROP tcp -- anywhere anywhere tcp dpt:netbios-ssn</p><p>DROP tcp -- anywhere anywhere tcp dpt:microsoft-ds</p><p>DROP udp -- anywhere anywhere udp dpt:1900</p><p>DROP udp -- anywhere anywhere udp spt:domain</p><p>DROP udp -- anywhere anywhere udp dpt:1900</p><p>DROP udp -- anywhere anywhere udp spt:domain</p><p>DROP all -- anywhere 255.255.255.255</p><p>DROP all -- anywhere 192.168.2.255</p><p>DROP all -- anywhere 255.255.255.255</p><p>DROP all -- anywhere BASE-ADDRESS.MCAST.NET/4</p><p>DROP all -- anywhere anywhere state INVALID</p><p>DROP tcp -- anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN</p><p>[COLOR=red]DROP all -- ******.static.slicehost.net anywhere[/COLOR]</p><p>LOG all -- anywhere anywhere LOG level info prefix `Shorewall:logdrop:DROP:'</p><p>DROP all -- anywhere anywhere</p><p>LOG all -- anywhere anywhere LOG level info prefix `Shorewall:net2all:DROP:'</p><p>DROP all -- anywhere anywhere</p><p>DROP all -- anywhere 255.255.255.255</p><p>DROP all -- anywhere 192.168.2.255</p><p>DROP all -- anywhere 255.255.255.255</p><p>DROP all -- anywhere BASE-ADDRESS.MCAST.NET/4</p><p>DROP all -- 255.255.255.255 anywhere</p><p>DROP all -- BASE-ADDRESS.MCAST.NET/4 anywhere</p><p>LOG all -- 255.255.255.255 anywhere LOG level info prefix `Shorewall:smurfs:DROP:'</p><p>DROP all -- 255.255.255.255 anywhere</p><p>LOG all -- 192.168.2.255 anywhere LOG level info prefix `Shorewall:smurfs:DROP:'</p><p>DROP all -- 192.168.2.255 anywhere</p><p>LOG all -- 255.255.255.255 anywhere LOG level info prefix `Shorewall:smurfs:DROP:'</p><p>DROP all -- 255.255.255.255 anywhere</p><p>LOG all -- BASE-ADDRESS.MCAST.NET/4 anywhere LOG level info prefix `Shorewall:smurfs:DROP:'</p><p>DROP all -- BASE-ADDRESS.MCAST.NET/4 anywhere</p><p></p><p>[/CODE]En resumen. Cada 5 intento fallido, la IP que lo genero recibe un ban temporal de 10 minutos. si bien no es un castigo demasiado extricto, logra dificultar el ataque, ya que te toma muchisimo tiempo el lograr pasar el diccionario completo. Si a esto le sumas un buen uso de claves, con una complejidad aceptable de ellas y el cambio de las mismas tras un tiempo determinado, seria raro que alguien pueda entrar de esta manera. Pero bueno, como siempre hay que recordar: "Security, is a state of mind"</p></blockquote><p></p>
[QUOTE="caudio, post: 754382, member: 30834"] Bueno.. desde ayer tengo a fail2ban funcionando en mi servidor casero, esperando por el chileno para que siga con su ataque de diccionario.. Asi que aca les paso una mini guia para instalarlo. es en Gentoo pero en ubuntu por ejemplo solo cambia la instalacion por un hermoso "apt-get install fail2ban" En Gentoo: [CODE]emerge fail2ban[/CODE]Luego de que se termine de compilar: Vamos al archivo de configuracion : /etc/fail2ban/jail.conf y configuramos los parametros por defecto, y las jaulas que querramos activar, o sea los servicios que queremos monitorear con fail2ban en mi caso es: [CODE] [DEFAULT] # ignorar los intentos desde el servidor ignoreip = 127.0.0.1 #Tiempo por defecto del ban bantime = 600 #Maximos intentos fallidos de logueo maxretry = 3 # Esto describe el metodo que usa fail2ban para leer los logs y modificaciones en los mismos. esta en auto por defecto backend = auto #Aca empiezo con la configuracion especifica de la jaula para el servidor ssh. en mi caso solo tengo ese servicio escuchando asi que solo #uso esa jaula [ssh-iptables] #Lo habilito enabled = true #Elijo el filtro a usar filter = sshd #La accion a tomar action = iptables[name=SSH, port=ssh, protocol=tcp] sendmail-whois[name=SSH, dest=mimail@midominio.com.ar, sender=fail2ban@baikonur.midominio.com.ar] # El archivo donde revisar por failed logins. Cabe destacar que este archivo puede variar de acuerdo a la configuracion del demonio sshd logpath = /var/log/messages #Maximos intentos fallidos. maxretry = 5 [/CODE]Para Iniciarlo ejecutamos: [CODE]fail2ban-client start[/CODE]Para cargar nuevas configuraciones: [CODE]fail2ban-client reload[/CODE]Y para que inicie en nuestro gentoo al inicio del sistema: [CODE]rc-update add fail2ban default [/CODE] la anterior es una configuracion muy sencilla pero que funciona para evitar el tipo de ataques descriptos anteriormente. sin ir mas lejos. intentando yo mismo desde otro server entrar con login incorrecto veo al 5 intento una hermosa regla de iptables generada en rojo: [CODE] baikonur fail2ban # iptables -L | grep DROP Chain INPUT (policy DROP) Chain FORWARD (policy DROP) Chain OUTPUT (policy DROP) DROP udp -- anywhere anywhere udp dpt:epmap DROP udp -- anywhere anywhere udp dpt:microsoft-ds DROP udp -- anywhere anywhere udp dpts:netbios-ns:netbios-ssn DROP udp -- anywhere anywhere udp spt:netbios-ns dpts:1024:65535 DROP tcp -- anywhere anywhere tcp dpt:epmap DROP tcp -- anywhere anywhere tcp dpt:netbios-ssn DROP tcp -- anywhere anywhere tcp dpt:microsoft-ds DROP udp -- anywhere anywhere udp dpt:1900 DROP udp -- anywhere anywhere udp spt:domain DROP udp -- anywhere anywhere udp dpt:1900 DROP udp -- anywhere anywhere udp spt:domain DROP all -- anywhere 255.255.255.255 DROP all -- anywhere 192.168.2.255 DROP all -- anywhere 255.255.255.255 DROP all -- anywhere BASE-ADDRESS.MCAST.NET/4 DROP all -- anywhere anywhere state INVALID DROP tcp -- anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN [COLOR=red]DROP all -- ******.static.slicehost.net anywhere[/COLOR] LOG all -- anywhere anywhere LOG level info prefix `Shorewall:logdrop:DROP:' DROP all -- anywhere anywhere LOG all -- anywhere anywhere LOG level info prefix `Shorewall:net2all:DROP:' DROP all -- anywhere anywhere DROP all -- anywhere 255.255.255.255 DROP all -- anywhere 192.168.2.255 DROP all -- anywhere 255.255.255.255 DROP all -- anywhere BASE-ADDRESS.MCAST.NET/4 DROP all -- 255.255.255.255 anywhere DROP all -- BASE-ADDRESS.MCAST.NET/4 anywhere LOG all -- 255.255.255.255 anywhere LOG level info prefix `Shorewall:smurfs:DROP:' DROP all -- 255.255.255.255 anywhere LOG all -- 192.168.2.255 anywhere LOG level info prefix `Shorewall:smurfs:DROP:' DROP all -- 192.168.2.255 anywhere LOG all -- 255.255.255.255 anywhere LOG level info prefix `Shorewall:smurfs:DROP:' DROP all -- 255.255.255.255 anywhere LOG all -- BASE-ADDRESS.MCAST.NET/4 anywhere LOG level info prefix `Shorewall:smurfs:DROP:' DROP all -- BASE-ADDRESS.MCAST.NET/4 anywhere [/CODE]En resumen. Cada 5 intento fallido, la IP que lo genero recibe un ban temporal de 10 minutos. si bien no es un castigo demasiado extricto, logra dificultar el ataque, ya que te toma muchisimo tiempo el lograr pasar el diccionario completo. Si a esto le sumas un buen uso de claves, con una complejidad aceptable de ellas y el cambio de las mismas tras un tiempo determinado, seria raro que alguien pueda entrar de esta manera. Pero bueno, como siempre hay que recordar: "Security, is a state of mind" [/QUOTE]
Verificación
Responder
Novedades
Foros
Informática
Sistemas Operativos
GNU/Linux
Abriendose a la Internet.
Arriba