Protegiendo tu servidor mediante Fail2ban

Imagen de Manu

Tema: 

Una de las primeras cosas que hago cada día es revisar los logs de mi sistema, encontrando un montón de intentos de login fallidos mediante ssh seguramente de algún tipo que quiere pasarse de hábil intentado dejar mi sistema vulnerable.

Buscando una forma sencilla y efectiva de bloquear estos intentos de intrusión, me he topado con una excelente herramienta: fail2ban.

Fail2ban escanea los archivos de log del sistema, y restringe aquellas ip que efectúa demasiados intentos de login fallidos, mediante la agregación de reglas iptables, que rechazan dichos intentos de conexión, con una configuración muy sencilla.

Podrán encontrar una completa referencia al respecto en:
http://fail2ban.sourceforge.net/

Y un exelente how to en :
http://www.the-art-of-web.com/system/fail2ban/

Comentarios

Otra herramienta que tiene

Imagen de Root Bit

Otra herramienta que tiene un objetivo similar es portsentry
http://www.gwolf.org/seguridad/portsentry/node2.html

Lo que si hay que tener cuidado es en el establecimiento de reglas y politicas puesto que en ocasiones puede llegarse a bloquear a quien no se debe.

There are only 10 types people in the word:
Those who understand binary and those who don't

There are only 10 types people in the world:
Those who understand binary and those who don't

Excelente

Imagen de antares

Lo probé y me dió excelentes resultados. Gracias por tu aporte. En mi caso me tocó configurar el syslog, ya que los mensajes me los enviaba al /var/log/messages y se necesita tener en /var/log/secure o algo parecido para que funcione el fail2ban. Lo probé en Suse 10 OSS.

Lo que me toca investigar es cómo hacerlo demonio, ya que por el momento se instaló como programa, y no me puso los scripts de arranque y parada en el /etc/init.d

Saludos,

antares

excelente el fail2ban solo que

Imagen de juandarcy2000

el fail2ban me a trabajado en algunos servidores solo que otros me han presentado el problema que el log de /var/log/secure solo registra 1 intento del ssh y el fail2ban se queda sin sus siguientes busquedas por lo cual si programo el fail2ban a 4 errores de claves el no banea ya que el log solo reporto 1 no los siguientes intentos no mostro nada el log que puedo hacer en el log para que registre cada intento fallido y lo ponga en el log para que fail2ban cumpla el objetivo. gracias