Fail2Ban

From HackerNet
Revision as of 00:22, 24 April 2016 by Sparco (talk | contribs) (Created page with "Category:Guider Fail2ban söker av log filerna för olika tjänster som ssh, apache etc och letar efter tex bruteforce attacker eller om en exploit försökt köras. Fail2...")
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to: navigation, search

Fail2ban söker av log filerna för olika tjänster som ssh, apache etc och letar efter tex bruteforce attacker eller om en exploit försökt köras. Fail2ban uppdaterar då brandväggen att blocka all trafik från den IP'n i ex antal minuter.

Installation

Deb baserad. 

apt-get install fail2ban

RPM baserad 

yum install fail2ban

Konfiguration

Fail2ban kommer med bra inställningar ifrån början. Vill man ändra dom gör man det i /etc/fail2ban/jail.conf

maxretry Antalet gånger något får hända. Tex 5 felaktiga lösenord.
findtime Tidsfönster på hur långt bak i tiden en rad i log filen gäller.
bantime Hur länge en IP blir bannad. Skrivs i sekunder, -1 ger en permanent ban.

SSH Repeater permanent ban

Om en IP försöker bruteforca dig så kan det vara skönt att blocka IP'n permanent istället.

Skapa följande fil /etc/fail2ban/action.d/iptables-repeater.conf 

...
Retrieved from "https://hackernet.se/index.php?title=Fail2Ban&oldid=1691"