Baneo de SSH con Fail2ban
8:12 | Author: Bluder Garcia


Lo que haremos en este paso es banear (Restringir) al acceso a los Usuarios que intenten el logeo frente al Servidor y sea erróneo mas de 5 veces, al cual le aplicaremos un tiempo determinado de restricción, para ello debemos de instalar el programa fail2ban, con el siguiente comando:

# apt-get install fail2ban

Después debemos de ir al archivo de configuración del fail2ban y buscaremos el Servicio que necesitamos aplicarle el baneo, en este caso el Servidor SSH, con la ayuda del siguiente comando:

# nano /etc/fail2ban/jail.conf

Buscaremos las siguientes líneas y las comentaremos, por que más adelante en el servicio las especificaremos:

bantime = 300
maxretry = 5


Después más abajo en este archivo buscaremos la línea SSH la cual en nuestro caso debe de quedar así:

[ssh]

enabled = true
port = 22
filter = sshd
logpath = /var/log/auth.log
bantime = 20
maxretry = 5


En el campo enable= debe de estar en true (falce es apagado)
En el campo port= debe de estar el puerto por el cual corre nuestro SSH
En el campo filter= debe de estar sshd del Demonio SSH
En el campo logpath= es donde almacenaran los logs de SSH
En el campo bantime= es donde ira el tiempo en segundos de la penalización
En el campo maxretry= es las veces que permitiremos un fallo en el login


Después de esta configuración debemos de reiniciar el Servidor Fail2ban, con la ayuda del siguiente comando:

# /etc/init.d/fail2ban restart

Para mirar en tiempo real lo que sucede mientras se intentan logear los Usuario ejecutamos el siguiente comando:

# tail -f /var/log/fail2ban.log

Si el Usuario se equivoco en la clave la cantidad de veces que colocamos como tope, de de salir así:

2009-02-27 11:27:10,639 fail2ban.actions: WARNING [ssh] Ban 192.168.101.126

Después del tiempo que estimamos para el baneo debe de aparecer así:

2009-02-27 11:27:30,679 fail2ban.actions: WARNING [ssh] Unban 192.168.101.126



|
This entry was posted on 8:12 and is filed under . You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

1 comentarios:

On 16 de marzo de 2009, 5:33 , Leandro Ariel Leonhardt dijo...

Gracias, buen aporte ya lo que era justo mi duda lo que me has sacado.. Saludos