| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| Fail2ban http://forum.freesco.pl/viewtopic.php?f=24&t=16274 |
Strona 1 z 2 |
| Autor: | Maciek [ niedziela, 25 listopada 2007, 19:37 ] |
| Tytuł: | Fail2ban |
Od zawsze prawie pojawiały się pytania o to co robić, aby rozmaite boty skanujące sieć przestały nam zaśmiecać logi i czy one są w jakiś sposób niebezpieczne. Zwykle najgorzej jest z ftp i ssh. Te dwie usługi są przeważnie atakowane. Ma to duże znaczenie, bowiem użytkownicy, którym dajemy dostęp (głownie ftp) nie zawsze rozumieją znaczenie dobrych i silnych haseł. W rezultacie nawet jeśli właściciel serwera dba o bezpieczeństwo - istnieje zagrożenie ze strony kont użytkowników. Przygotowałem pakiet fail2ban, którego rolą jest monitorowanie ftp i ssh i banowanie IP po 5 nieudanych próbach logowania. Program jest skryptem w pythonie i wymaga paczki python, nie uruchamia się sam - trzeba do sekcji DAEMONS w rc.conf dopisać jego uruchamianie (UWAGA! PO IPTABLES). Od jutra rana program będzie dostępny w repozytorium testing, a jeśli ktoś chciałby zacząć zaraz to dziś można go znaleźć na: ftp://emti.homelinux.org/fail2ban-0.6.2-1nnd.pkg.tar.gz |
|
| Autor: | Osfald [ niedziela, 25 listopada 2007, 21:52 ] |
| Tytuł: | |
czy ten skrypcik przeszukuje caly ruch pod katem protokolow ftp i ssh czy tez "oglada" tylko ruch na portach 21 i 22 tcp, a moze pozwala zadac ogladane porty lub sam wykrywa dzialajace uslugi serwerow ssh i ftp oraz analizuje ich konfiguracje i automatycznie prowadzi nasluch na okreslonym porcie? |
|
| Autor: | Maciek [ niedziela, 25 listopada 2007, 23:15 ] |
| Tytuł: | |
Jeśli masz usługi na nietypowych portach, to nie potrzebujesz tego programu. Ale jeśli już chcesz to oczywiście w konfiguracji możesz sobie zmienić port. Program nie nasłuchuje niczego... tylko obserwuje na bieżąco log i jeśłi znajdzie w nim powtarzające się wpisy np no such user (dla ftp) lub login failure (ssh) i inne podobne to po 5 próbach blokuje dany IP na 300 sekund (obydwa parametry można zmieniać). |
|
| Autor: | Osfald [ niedziela, 25 listopada 2007, 23:41 ] |
| Tytuł: | |
aaa... w ten desen.... skoro obserwuje tylko logi to chyba wcale nie musi wiedziec na jakim porcie dziala dana usluga... btw... uslugi rzeczywiscie mam na nietypowych portach i chcialem sie dowiedziec czy jest mozliwosc zdefiniowania tych portow w skrypcie... ale widze, ze zasada dzialania jest inna i taka konfiguracja nie jest wogole potrzebna |
|
| Autor: | Maciek [ poniedziałek, 26 listopada 2007, 00:17 ] |
| Tytuł: | |
Port są wpisane i można je zmienić. Jednak cały sens zaistnienia tego problemu jest taki - że mamy standardowe ftp i ssh, żeby nie wydziwiać i nie utrudniać userom życia. Mam ssh na kilku serwerach różnych, gdzie nie jestem adminem, ale zarządzam jakimiś tam rzeczami i teraz zawsze się zastanawiam jaki port to był na serwerze X, gdyby był zastosowany fail2ban to zapewne miałbym mniej danych do zapamietania. |
|
| Autor: | ZonX [ niedziela, 9 marca 2008, 04:15 ] |
| Tytuł: | |
Czy mogłby ktos z szanownych forumowiczow zrobic paczuszke nowej wersji fail2ban? http://sourceforge.net/project/showfile ... _id=121032 Probowalem to instalowac u siebie ale podczas uruchomienia pojawia sie blad [root@Serwer f]# /etc/rc.d/fail2ban start Starting fail2ban: touch: nie można dotknąć `/var/lock/subsys/fail2ban': Nie ma takiego pliku ani katalogu /etc/rc.d/fail2ban: line 36: echo_success: command not found nie potrafie sobie z tym poradzic :/ |
|
| Autor: | viater [ niedziela, 9 marca 2008, 11:49 ] |
| Tytuł: | |
pacman -U http://viater.one.pl/pub2/nnd/PKG/fail2 ... pkg.tar.gz Daj znać, czy działa. == EDIT == Powinno działać. |
|
| Autor: | ZonX [ niedziela, 9 marca 2008, 17:20 ] |
| Tytuł: | |
[root@Serwer f]# /etc/rc.d/fail2ban start NND: Uruchamiam fail2ban [Trwa....] /etc/rc.d/fail2ban: line 13: /usr/bin/fail2ban: Nie ma takiego pliku ani katalogu [Nieudane] |
|
| Autor: | JakubC [ niedziela, 9 marca 2008, 17:26 ] |
| Tytuł: | |
[cichy@laptop bin]$ ls fail2ban-client fail2ban-regex fail2ban-server Chyba coś pozmieniali. |
|
| Autor: | ZonX [ niedziela, 9 marca 2008, 17:31 ] |
| Tytuł: | |
no wlasnie sa te 3 pliki, po skopiowaniu "na pale" fail2ban z /etc/rc.d/ do /usr/bin/ program teoretycznie odpala ale chyba nie dziala prawidlowo. |
|
| Autor: | viater [ niedziela, 9 marca 2008, 17:55 ] |
| Tytuł: | |
JakubC pisze: [cichy@laptop bin]$ ls
fail2ban-client fail2ban-regex fail2ban-server Chyba coś pozmieniali. No pewnie, nie spojrzałem, tylko zmieniłem pkgrel i przebudowałem. W tej sytuacji paczka, do której link jest w moim poprzednim poście, oczywiście NIE będzie raczej działać... == EDIT == ...teraz już działa 
|
|
| Autor: | ZonX [ niedziela, 9 marca 2008, 18:02 ] |
| Tytuł: | |
Wiec w tej sytuacji ponawiam pytanie: Czy znajdzie sie dobra dusza dysponująca chwilą czasu na zbudowanie/poprawienie w/w paczuszki? |
|
| Autor: | Maciek [ niedziela, 9 marca 2008, 18:12 ] |
| Tytuł: | |
Nie bardzo rozumiem, czemu ci nie działa paczka, która jest? U mnie działa na dwóch serwerach. Masz zainstalowanego pythona? |
|
| Autor: | ZonX [ niedziela, 9 marca 2008, 18:23 ] |
| Tytuł: | |
link do tej wersji ftp://emti.homelinux.org/fail2ban-0.6.2-1nnd.pkg.tar.gz jest martwy wiec szukalem gdzie indziej. Znalazlem strone projektu i pogralem stad http://sourceforge.net/project/showfile ... _id=121032 Pliki wypakowalem i zainstalowalem poleceniem python setup.py install wg instrukcji. wszystko poszlo bez bledu jednak przy probie uruchomienia pojawil sie blad [root@Serwer f]# /etc/rc.d/fail2ban start Starting fail2ban: touch: nie można dotknąć `/var/lock/subsys/fail2ban': Nie ma takiego pliku ani katalogu /etc/rc.d/fail2ban: line 36: echo_success: command not found Paczka kolegi viater rowniez nie dziala 
[root@Serwer zonx]# pacman -Q python python 2.3.3-3nnd |
|
| Autor: | JakubC [ niedziela, 9 marca 2008, 18:29 ] |
| Tytuł: | |
Ten pakiet jest w repozytoriach! pacman -Ss fail2ban testing/fail2ban 0.6.2-1nnd Zabezpieczenie sieci przed nieautoryzowanym dostępem do usług Włączasz testing w /etc/pacman.conf i instalujesz pacman -Sy fail2ban |
|
| Autor: | Maciek [ niedziela, 9 marca 2008, 18:53 ] |
| Tytuł: | |
Bo kolejny kurde czytać nie umie!!!!! Napisałem, że paczka będzie w testing, a na swoim domowym wystawiłem tylko dla tych, którym by się strasznie śpieszyło... |
|
| Autor: | viater [ poniedziałek, 10 marca 2008, 01:38 ] |
| Tytuł: | |
Maćku - może by przenieść wersję z testing do current, jeśli jest stabilna ? Wziąłem się właśnie z nową wersję, więc przydałoby się dla niej miejsce w testing 
|
|
| Autor: | Maciek [ poniedziałek, 10 marca 2008, 01:47 ] |
| Tytuł: | |
Na podstawie moich dwóch instalacji trudno uznać to za stabilne. |
|
| Autor: | viater [ poniedziałek, 10 marca 2008, 02:46 ] |
| Tytuł: | |
Maciek pisze: Na podstawie moich dwóch instalacji trudno uznać to za stabilne.
A masz pewność, że jesteś jedyną osobą, która tego używa ? Może małą ankietkę ? |
|
| Autor: | viater [ niedziela, 16 marca 2008, 23:07 ] |
| Tytuł: | |
Najnowsza wersja (0.8.2-4nnd) w testing. Aby monitorować wybrane usługi, należy w odpowiednich miejscach pliku /etc/fail2ban/jail.conf zmienić na Domyślnie ustawione jest monitorowanie sshd (blokada poprzez iptables) i proftpd (również blokada za pomocą iptables). |
|
| Strona 1 z 2 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|