Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest czwartek, 28 marca 2024, 17:03

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 32 ]  Przejdź na stronę 1, 2  Następna
Autor Wiadomość
 Tytuł: Fail2ban
Post: niedziela, 25 listopada 2007, 19:37 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Od zawsze prawie pojawiały się pytania o to co robić, aby rozmaite boty skanujące sieć przestały nam zaśmiecać logi i czy one są w jakiś sposób niebezpieczne.
Zwykle najgorzej jest z ftp i ssh. Te dwie usługi są przeważnie atakowane. Ma to duże znaczenie, bowiem użytkownicy, którym dajemy dostęp (głownie ftp) nie zawsze rozumieją znaczenie dobrych i silnych haseł. W rezultacie nawet jeśli właściciel serwera dba o bezpieczeństwo - istnieje zagrożenie ze strony kont użytkowników.
Przygotowałem pakiet fail2ban, którego rolą jest monitorowanie ftp i ssh i banowanie IP po 5 nieudanych próbach logowania. Program jest skryptem w pythonie i wymaga paczki python, nie uruchamia się sam - trzeba do sekcji DAEMONS w rc.conf dopisać jego uruchamianie (UWAGA! PO IPTABLES).
Od jutra rana program będzie dostępny w repozytorium testing, a jeśli ktoś chciałby zacząć zaraz to dziś można go znaleźć na:
ftp://emti.homelinux.org/fail2ban-0.6.2-1nnd.pkg.tar.gz

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 25 listopada 2007, 21:52 
Offline
Użytkownik

Rejestracja: poniedziałek, 17 lipca 2006, 13:32
Posty: 220
czy ten skrypcik przeszukuje caly ruch pod katem protokolow ftp i ssh czy tez "oglada" tylko ruch na portach 21 i 22 tcp, a moze pozwala zadac ogladane porty lub sam wykrywa dzialajace uslugi serwerow ssh i ftp oraz analizuje ich konfiguracje i automatycznie prowadzi nasluch na okreslonym porcie?

_________________
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 25 listopada 2007, 23:15 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Jeśli masz usługi na nietypowych portach, to nie potrzebujesz tego programu. Ale jeśli już chcesz to oczywiście w konfiguracji możesz sobie zmienić port.
Program nie nasłuchuje niczego... tylko obserwuje na bieżąco log i jeśłi znajdzie w nim powtarzające się wpisy np no such user (dla ftp) lub login failure (ssh) i inne podobne to po 5 próbach blokuje dany IP na 300 sekund (obydwa parametry można zmieniać).

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 25 listopada 2007, 23:41 
Offline
Użytkownik

Rejestracja: poniedziałek, 17 lipca 2006, 13:32
Posty: 220
aaa... w ten desen.... skoro obserwuje tylko logi to chyba wcale nie musi wiedziec na jakim porcie dziala dana usluga...

btw... uslugi rzeczywiscie mam na nietypowych portach i chcialem sie dowiedziec czy jest mozliwosc zdefiniowania tych portow w skrypcie... ale widze, ze zasada dzialania jest inna i taka konfiguracja nie jest wogole potrzebna

_________________
Obrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 26 listopada 2007, 00:17 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Port są wpisane i można je zmienić. Jednak cały sens zaistnienia tego problemu jest taki - że mamy standardowe ftp i ssh, żeby nie wydziwiać i nie utrudniać userom życia. Mam ssh na kilku serwerach różnych, gdzie nie jestem adminem, ale zarządzam jakimiś tam rzeczami i teraz zawsze się zastanawiam jaki port to był na serwerze X, gdyby był zastosowany fail2ban to zapewne miałbym mniej danych do zapamietania.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 9 marca 2008, 04:15 
Offline

Rejestracja: czwartek, 16 marca 2006, 02:31
Posty: 77
Lokalizacja: Lublin
Czy mogłby ktos z szanownych forumowiczow zrobic paczuszke nowej wersji fail2ban?
http://sourceforge.net/project/showfile ... _id=121032

Probowalem to instalowac u siebie ale podczas uruchomienia pojawia sie blad

[root@Serwer f]# /etc/rc.d/fail2ban start
Starting fail2ban: touch: nie można dotknąć `/var/lock/subsys/fail2ban': Nie ma takiego pliku ani katalogu
/etc/rc.d/fail2ban: line 36: echo_success: command not found

nie potrafie sobie z tym poradzic :/


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 9 marca 2008, 11:49 
Offline
PGF

Rejestracja: piątek, 25 lutego 2005, 18:22
Posty: 1430
Lokalizacja: Elbląg
pacman -U http://viater.one.pl/pub2/nnd/PKG/fail2 ... pkg.tar.gz

Daj znać, czy działa.

== EDIT ==

Powinno działać.

_________________
F33/F07,F11,F13,F17
ObrazekObrazek


Ostatnio zmieniony środa, 19 marca 2008, 19:07 przez viater, łącznie zmieniany 6 razy

Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 9 marca 2008, 17:20 
Offline

Rejestracja: czwartek, 16 marca 2006, 02:31
Posty: 77
Lokalizacja: Lublin
[root@Serwer f]# /etc/rc.d/fail2ban start
NND: Uruchamiam fail2ban [Trwa....] /etc/rc.d/fail2ban: line 13: /usr/bin/fail2ban: Nie ma takiego pliku ani katalogu
[Nieudane]


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 9 marca 2008, 17:26 
Offline
PGF

Rejestracja: wtorek, 27 czerwca 2006, 14:09
Posty: 2112
Lokalizacja: Poznań
[cichy@laptop bin]$ ls
fail2ban-client fail2ban-regex fail2ban-server


Chyba coś pozmieniali.

_________________
Dedykowane systemy CRM, e-commerce i witryny korporacyjne.
Software House Poznań


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 9 marca 2008, 17:31 
Offline

Rejestracja: czwartek, 16 marca 2006, 02:31
Posty: 77
Lokalizacja: Lublin
no wlasnie sa te 3 pliki, po skopiowaniu "na pale" fail2ban z /etc/rc.d/ do /usr/bin/ program teoretycznie odpala ale chyba nie dziala prawidlowo.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 9 marca 2008, 17:55 
Offline
PGF

Rejestracja: piątek, 25 lutego 2005, 18:22
Posty: 1430
Lokalizacja: Elbląg
JakubC pisze:
[cichy@laptop bin]$ ls
fail2ban-client fail2ban-regex fail2ban-server

Chyba coś pozmieniali.


No pewnie, nie spojrzałem, tylko zmieniłem pkgrel i przebudowałem.
W tej sytuacji paczka, do której link jest w moim poprzednim poście, oczywiście NIE będzie raczej działać...

== EDIT ==
...teraz już działa :)

_________________
F33/F07,F11,F13,F17
ObrazekObrazek


Ostatnio zmieniony poniedziałek, 17 marca 2008, 21:37 przez viater, łącznie zmieniany 1 raz

Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 9 marca 2008, 18:02 
Offline

Rejestracja: czwartek, 16 marca 2006, 02:31
Posty: 77
Lokalizacja: Lublin
Wiec w tej sytuacji ponawiam pytanie: Czy znajdzie sie dobra dusza dysponująca chwilą czasu na zbudowanie/poprawienie w/w paczuszki?


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 9 marca 2008, 18:12 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Nie bardzo rozumiem, czemu ci nie działa paczka, która jest? U mnie działa na dwóch serwerach. Masz zainstalowanego pythona?

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 9 marca 2008, 18:23 
Offline

Rejestracja: czwartek, 16 marca 2006, 02:31
Posty: 77
Lokalizacja: Lublin
link do tej wersji ftp://emti.homelinux.org/fail2ban-0.6.2-1nnd.pkg.tar.gz jest martwy wiec szukalem gdzie indziej.
Znalazlem strone projektu i pogralem stad
http://sourceforge.net/project/showfile ... _id=121032
Pliki wypakowalem i zainstalowalem poleceniem python setup.py install wg instrukcji. wszystko poszlo bez bledu jednak przy probie uruchomienia pojawil sie blad

[root@Serwer f]# /etc/rc.d/fail2ban start
Starting fail2ban: touch: nie można dotknąć `/var/lock/subsys/fail2ban': Nie ma takiego pliku ani katalogu
/etc/rc.d/fail2ban: line 36: echo_success: command not found

Paczka kolegi viater rowniez nie dziala :(

[root@Serwer zonx]# pacman -Q python
python 2.3.3-3nnd


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 9 marca 2008, 18:29 
Offline
PGF

Rejestracja: wtorek, 27 czerwca 2006, 14:09
Posty: 2112
Lokalizacja: Poznań
Ten pakiet jest w repozytoriach!
pacman -Ss fail2ban
testing/fail2ban 0.6.2-1nnd
Zabezpieczenie sieci przed nieautoryzowanym dostępem do usług

Włączasz testing w /etc/pacman.conf i instalujesz
pacman -Sy fail2ban

_________________
Dedykowane systemy CRM, e-commerce i witryny korporacyjne.
Software House Poznań


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 9 marca 2008, 18:53 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Bo kolejny kurde czytać nie umie!!!!!
Napisałem, że paczka będzie w testing, a na swoim domowym wystawiłem tylko dla tych, którym by się strasznie śpieszyło...

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 10 marca 2008, 01:38 
Offline
PGF

Rejestracja: piątek, 25 lutego 2005, 18:22
Posty: 1430
Lokalizacja: Elbląg
Maćku - może by przenieść wersję z testing do current, jeśli jest stabilna ?
Wziąłem się właśnie z nową wersję, więc przydałoby się dla niej miejsce w testing :roll:

_________________
F33/F07,F11,F13,F17
ObrazekObrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 10 marca 2008, 01:47 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Na podstawie moich dwóch instalacji trudno uznać to za stabilne.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 10 marca 2008, 02:46 
Offline
PGF

Rejestracja: piątek, 25 lutego 2005, 18:22
Posty: 1430
Lokalizacja: Elbląg
Maciek pisze:
Na podstawie moich dwóch instalacji trudno uznać to za stabilne.

A masz pewność, że jesteś jedyną osobą, która tego używa ?
Może małą ankietkę ?

_________________
F33/F07,F11,F13,F17
ObrazekObrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 16 marca 2008, 23:07 
Offline
PGF

Rejestracja: piątek, 25 lutego 2005, 18:22
Posty: 1430
Lokalizacja: Elbląg
Najnowsza wersja (0.8.2-4nnd) w testing.

Aby monitorować wybrane usługi, należy w odpowiednich miejscach pliku /etc/fail2ban/jail.conf zmienić
: [/] [] ()
enabled = false
na
: [/] [] ()
enabled = true


Domyślnie ustawione jest monitorowanie sshd (blokada poprzez iptables) i proftpd (również blokada za pomocą iptables).

_________________
F33/F07,F11,F13,F17
ObrazekObrazek


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 32 ]  Przejdź na stronę 1, 2  Następna

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Bing [Bot] i 15 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl