elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Curso de javascript por TickTack


+  Foro de elhacker.net
|-+  Sistemas Operativos
| |-+  GNU/Linux (Moderador: MinusFour)
| | |-+  [Fail2ban] Dejó de autobanear después de actualizar !
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [Fail2ban] Dejó de autobanear después de actualizar !  (Leído 2,753 veces)
Diabliyo


Desconectado Desconectado

Mensajes: 1.441


shell# _


Ver Perfil WWW
[Fail2ban] Dejó de autobanear después de actualizar !
« en: 27 Diciembre 2015, 20:49 pm »

Buen día gente, hace muchísimo que no me pasaba por aquí, pero como mi problema ya sobrepaso a las personas de la lista de correos (no tienen idea del problema....), pues recurro a este lugar haber si alguien puede aportarme algún comentario o solución :D !

Citar
shell# uname -a
Linux server.midominio.com 2.6.32-573.12.1.el6.x86_64 #1 SMP Tue Dec 15 21:19:08 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

shell# cat /etc/centos-release
CentOS release 6.7 (Final)

Resulta que tengo fail2ban para bloquear las IPs que intentan hacerme bruteforcing a mi puerto SSH, todo funcionaba muy bien desde hace mucho tiempo, pero justamente el 23-Diciembre-2015, aprovechando un aviso de suspensión de actividades en mis servidores, pues realice update a todo el sistema.

Despues de revisar todos mis servicios, note que el unico que no trabajaba como deberia, era fail2ban, el problema que tiene es que no esta banneando las IPs que sobrepasan el numero de intentos permitidos para logeo en puerto SSH.

Mi configuracion:

fail2ban-client version
Citar
0.9.3

shell# cat /etc/fail2ban/jail.conf
Citar
[DEFAULT]
ignoreip = 127.0.0.1/8 miIP/24
ignorecommand =
bantime  = 86400
findtime  = 600
maxretry = 3
backend = auto
usedns = warn
[pam-generic]
enabled = false
filter  = pam-generic
action  = iptables-allports[name=pam,protocol=all]
logpath = /var/log/secure

[ssh-iptables]
enabled  = true
filter   = sshd
action   = iptables-multiport[name=SSH, port=ssh, protocol=tcp]
logpath  = /var/log/secure
maxretry = 3

shell# cat /etc/fail2ban/action.d/iptables-multiport.conf
Citar
actionstart = iptables -N fail2ban-<name>
              iptables -A fail2ban-<name> -j RETURN
              iptables -I <chain> -p <protocol> -m multiport --dports <port> -j fail2ban-<name>
              cat /etc/fail2ban/ip.blacklist | while read IP; do iptables -I fail2ban-<name> 1 -s $IP -j DROP; done

actionstop = iptables -D <chain> -p <protocol> -m multiport --dports <port> -j fail2ban-<name>
             iptables -F fail2ban-<name>
             iptables -X fail2ban-<name>

actionban = iptables -I fail2ban-<name> 1 -s <ip> -j DROP
            echo <ip> >> /etc/fail2ban/ip.blacklist

En conclusion cada vez que una IP sobrepasa el numero de intentos, es colocada su IP en una lista negra /etc/fail2ban/ip.blacklist, despues se le coloca una regla IPTables con tipo de bloqueo DROP.

Como es obvio, ya no se mete la IP a "ip.blacklist" y tampoco se coloca la regla iptable :(

Saludos !


« Última modificación: 3 Enero 2016, 04:40 am por Diabliyo » En línea

Diabliyo


Desconectado Desconectado

Mensajes: 1.441


shell# _


Ver Perfil WWW
Re: [Fail2ban] Dejó de autobanear después de actualizar !
« Respuesta #1 en: 3 Enero 2016, 04:39 am »

solucionado :D !...

Eran las variables definidad por fail2ban que se usan el iptables-multiport.conf, al actualizarse el fail2ban cambiaron los nombres de las variables y deben cambiarse a como se piden actualmente, y todo continua funcionando con normalidad :D !

Saludos !


En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines