Tag Archives: linux

fail2ban, zerbitzarien segurtasuna hobetzeko tresna bat

Gaur egun interneten dauden zerbitzariak etengabe erasoak jasaten ari dira. Eraso horien helburua, zerbitzari horren kontrola hartzea, edo behintzat, zerbitzari horrek eskaintzen dituen  zerbitzuetako kontrola hartzea.

Kasu batzuetan ere, adibidez ftp zerbitzarietan, ez da izango zerbitzuaren kontrola hartzea, baina bai zerbitzari horretako kontu baten pasahitza lortzea, horrela zerbitzaria erabiltzeko aukera izateko.

Zertarako nahi dute erasotzaileek ftp kontu bat lortu zerbitzarietan ? ba birusak zabaltzeko, eta beste erasoetan erabiltzeko.

Arrazoia bat izan edo bestea, Interneten zerbitzari bat duenak badaki segurtasuna garrantzitsua dela eta erasoak etengabe jasaten direla. Adibide moduan, hemen daukazue gure zerbitzari baten log-aren zati bat:


Mar 26 13:24:38 LINUXZERBITZARIA sshd[31384]: Invalid user johnathon123r from 124.6.178.156
Mar 26 13:24:41 LINUXZERBITZARIA sshd[31386]: Invalid user tobiasr from 124.6.178.156
Mar 26 13:24:45 LINUXZERBITZARIA sshd[31392]: Invalid user tobias123r from 124.6.178.156
Mar 26 13:24:48 LINUXZERBITZARIA sshd[31394]: Invalid user kendallr from 124.6.178.156
Mar 26 13:24:52 LINUXZERBITZARIA sshd[31396]: Invalid user kendall123r from 124.6.178.156
Mar 26 13:24:57 LINUXZERBITZARIA sshd[31398]: Invalid user cyrusr from 124.6.178.156



Ikusten denez,  124.6.178.156 helbidetik ssh konexioak zabaldu nahian ibili dira, horretarako erabiltzaile izen desberdinak erabiliz: tobias, kendall, cyrus, ….

Linux Magazine aldizkariko azkeneko zenbakian, tresna berri bat ezagutu det arazo hauei aurre egiteko: fail2ban izeneko tresna.

Atzo probatzen ibili nintzen eta ondo dabilela ikusi ondoren, gure zerbitzarietan instalatu det.

Bere funtzionamendua oso xinplea da. Zerbitzuek (ftp, ssh, apache, eta abar) duten log fitxategiak begiratzen ditu, eta log horietan errorea eman duten autentifikazio saiakerak kontutan izaten ditu. Zuk konfigurazioan esango diozu zerbitzu bakoitzean zenbat saiakera onartzen dituzun, eta IP jakin batetik saiakera kopurua gainditzen denean, IP horren konexioak iptables (suebakia) erabiliz blokeatuko ditu denbora batez. Zenbat minutuz blokeatuko duen IP hori zeuk erabakitzen duzu konfigurazio fitxategian.

Gauza hauek adibideekin hobeto ulertzen direnez, fail2ban-en konfigurazioaren zati bat ( /etc/fail2ban/jail.conf )


[ssh]
enabled = true
port    = ssh
filter  = sshd
logpath  = /var/log/auth.log
maxretry = 6

[vsftpd]
enabled  = true
port     = ftp,ftp-data,ftps,ftps-data
filter   = vsftpd
logpath  = /var/log/vsftpd.log
maxretry = 6
bantime=300


Ikusten den moduan, ssh eta ftp zerbitzuak zaintzen ari naiz. Biak  6 saiakera egin ondoren zerbitzua blokeatzeko konfiguratuta daude, eta ftp-aren kasuan, 300 segundoz blokeatuko du Ipa. ssh-k defektuzko denboraz blokeatuko du, 600 segundo.

Honen emaitza, bere log-ean ikus dezakegu:


# tail -f /var/log/fail2ban.log
2008-03-27 19:05:24,393 fail2ban.actions: WARNING [ssh] Ban 222.90.65.251
2008-03-27 19:10:25,386 fail2ban.actions: WARNING [ssh] Unban 222.90.65.251
2008-03-28 02:47:54,098 fail2ban.actions: WARNING [ssh] Ban 213.136.105.104
2008-03-28 02:52:54,142 fail2ban.actions: WARNING [ssh] Unban 213.136.105.104


Ikusten denez, bi IP helbidetik ssh konexioak zabaltzen saiatu dira, eta blokeatuak izan dira. Bietan, 10 minutu beranduago, konexioak berriro baimendu dira.

Honelako tresnak gustatzen zaizkit: xinpleak eta efektiboak.

Gora software askea !!!