Tema:
Una de las primeras cosas que hago cada día es revisar los logs de mi sistema, encontrando un montón de intentos de login fallidos mediante ssh seguramente de algún tipo que quiere pasarse de hábil intentado dejar mi sistema vulnerable.
Buscando una forma sencilla y efectiva de bloquear estos intentos de intrusión, me he topado con una excelente herramienta: fail2ban.
Fail2ban escanea los archivos de log del sistema, y restringe aquellas ip que efectúa demasiados intentos de login fallidos, mediante la agregación de reglas iptables, que rechazan dichos intentos de conexión, con una configuración muy sencilla.
Podrán encontrar una completa referencia al respecto en:
http://fail2ban.sourceforge.net/
Y un exelente how to en :
http://www.the-art-of-web.com/system/fail2ban/
Comentarios
Se oye bastante bien... voy
Se oye bastante bien... voy a probarlo con un servidor de FTP que tengo por allí...
----------------------------
Cada día más Grande... y no lo detiene nadie!!
Otra herramienta que tiene
Otra herramienta que tiene un objetivo similar es portsentry
http://www.gwolf.org/seguridad/portsentry/node2.html
Lo que si hay que tener cuidado es en el establecimiento de reglas y politicas puesto que en ocasiones puede llegarse a bloquear a quien no se debe.
There are only 10 types people in the word:
Those who understand binary and those who don't
There are only 10 types people in the world:
Those who understand binary and those who don't
Excelente
Lo probé y me dió excelentes resultados. Gracias por tu aporte. En mi caso me tocó configurar el syslog, ya que los mensajes me los enviaba al /var/log/messages y se necesita tener en /var/log/secure o algo parecido para que funcione el fail2ban. Lo probé en Suse 10 OSS.
Lo que me toca investigar es cómo hacerlo demonio, ya que por el momento se instaló como programa, y no me puso los scripts de arranque y parada en el /etc/init.d
Saludos,
antares
excelente el fail2ban solo que
el fail2ban me a trabajado en algunos servidores solo que otros me han presentado el problema que el log de /var/log/secure solo registra 1 intento del ssh y el fail2ban se queda sin sus siguientes busquedas por lo cual si programo el fail2ban a 4 errores de claves el no banea ya que el log solo reporto 1 no los siguientes intentos no mostro nada el log que puedo hacer en el log para que registre cada intento fallido y lo ponga en el log para que fail2ban cumpla el objetivo. gracias