zorzside
02.05.2015, 18.32
Uso la release3 ovh, ma non trovo il file di log di fail2ban. Di default non è attivo il log oppure non sta in var/log ?
Alert Fail2Ban
user7415
07.04.2014, 02.39
Originariamente Scritto da Zenzip
alla fine si potrebbe anche blacklistare tutti i range sul firewall esclusi quelli dei propri server
Zen, puoi anche blacklistare range di ip interi di countries dove sai che non hai e non avrai mai nulla a che fare..
Zenzip
04.04.2014, 11.03
grazie a tutti per i preziosi suggerimenti,
anche se semplicemente cambiando la porta ssh sono spariti i tentativi di accesso... finirò ugualmente di configurare perbene fail2ban per essere tranquillo.
anche se semplicemente cambiando la porta ssh sono spariti i tentativi di accesso... finirò ugualmente di configurare perbene fail2ban per essere tranquillo.
albert
01.04.2014, 12.12
... ottima info Mac, quella della lista
@zenzip: controlla il file fail2ban.conf (in centos e' in /etc/fail2ban ... e verifica dove scrive il log
@zenzip: controlla il file fail2ban.conf (in centos e' in /etc/fail2ban ... e verifica dove scrive il log
mac
01.04.2014, 12.06
In debian il log è di default in
Per tagliare degli IP specifici (o reti intere) si può usare una blacklist.
Si può realizzare in molti modi, ad esempio editando il file
e aggiungendo ad actionstart:
nel file
si possono quindi aggiungere gli IP da bloccare in modo permanente.
saluti
Codice:
/var/log/fail2ban.log
Si può realizzare in molti modi, ad esempio editando il file
Codice:
/etc/fail2ban/action.d/iptables-multiport.conf
Codice:
cat /etc/fail2ban/ip.blacklist | while read IP; do iptables -I fail2ban- 1 -s $IP -j DROP; done
Codice:
/etc/fail2ban/ip.blacklist
saluti
albert
01.04.2014, 09.41
ola
settalo sul conf di fail2ban, sostituiscilo a sysconfig (mettendo il path completo) e restarta
settalo sul conf di fail2ban, sostituiscilo a sysconfig (mettendo il path completo) e restarta
Zenzip
31.03.2014, 14.00
piccolo appunto, per impostare il [recidive] nel file fail2ban.local mi conviene leggere nel log di fail2ban giusto? ma non trovo il log di fail2ban sotto /var/log/ ...
Esempio, alla fine del file aggiungo
ma giustamente non trova il file fail2ban.log sotto /var/log/
help
Esempio, alla fine del file aggiungo
Codice:
[recidive]
enabled = true
filter = recidive
logpath = /var/log/fail2ban.log
action = iptables-allports[name=recidive]
sendmail-whois-lines[name=recidive, logpath=/var/log/fail2ban.log]
bantime = 604800
findtime = 86400
maxretry = 5
help
Zenzip
31.03.2014, 13.38
Originariamente Scritto da albert
Fatto ciò capirò (non lo so ancora fare) come impostare il il firewall iptables con una chain ovh prendendo come riferimento gli IP segnalati nelle mail, ed una per gli occhi a mandorla che a quanto pare si danno spesso da fare
Ed in ultimo, vedrò di controllare con Fail2Ban anche i log dell FTP, anche se ho già configurato proftpd per accettare connessioni soltanto da 2 IP (casa e ufficio), quindi per esclusione tutti gli altri dovrebbero restare fuori.
grazie ancora albert.
albert
31.03.2014, 13.19
ola,
si, puoi intanto allungare il ban del filtro SSH. Poi attiva il filtro recidive (dopo tot ban rilevati, blocca il recidivo per un tempo molto piu lungo ... decidi tu quanto anche qui).
ps.. i range di ovh sono diversi, per cui prendi spunto dalle mail inviateti da fail2ban e sega il range
io ho una chain ovh ed una per la cina (a buon intenditor)
si, puoi intanto allungare il ban del filtro SSH. Poi attiva il filtro recidive (dopo tot ban rilevati, blocca il recidivo per un tempo molto piu lungo ... decidi tu quanto anche qui).
ps.. i range di ovh sono diversi, per cui prendi spunto dalle mail inviateti da fail2ban e sega il range
io ho una chain ovh ed una per la cina (a buon intenditor)
Zenzip
31.03.2014, 13.06
Originariamente Scritto da albert
Per fail2ban se ho capito bene mi consigli di creare un nuovo filtro con il quale dopo tot-ban ignora il tempo di ban di default (che al momento ho stettato a 900secondi) ed attua un ban permanente o più lungo, ho capito bene?
albert
31.03.2014, 13.01
Ciao,
fai una chain e sega i range ovh.
Ma poi, attiva il recidive su fail2ban e setta il ban ad 1-n mesi.
Alberto
fai una chain e sega i range ovh.
Ma poi, attiva il recidive su fail2ban e setta il ban ad 1-n mesi.
Alberto
Zenzip
31.03.2014, 11.34
Originariamente Scritto da TheDarkITA
Qualche altro consiglio?
TheDarkITA
31.03.2014, 11.30
E' la normalità, visto che normalmente tentano di loggare come root, basta disattivare il login come root tramite ssh e passare per un altro utente, e scalare dopo i privileggi a root. In questo modo i bruteforce non costituiscono un problema.
Zenzip
31.03.2014, 10.31
Salve, ho da circa 15 giorni dei problemi di sicurezza con il mio server dedicato.
una settimana fa ho riscontrato e segnalato questo strano problema:
http://forum.ovh.it/showthread.php?6...1100#post31100
ho scritto anche al supporto che ne ignora le cause e rimanda a me la responsabilità nonostante, con log FTP ed SSH, e history della shell alla mano, non ci sia alcuna traccia di comandi che vanno a rimuovere, modificare, aggiornare quei file.
Ho ripristinato manualmente la situazione, ma sono iniziate le preoccupazioni.
Detto ciò da quel momento ho deciso di aumentare drasticamente la sicurezza del mio server, cambiando tutte le password, limitando l’accesso FTP a soli due IP (mi tocca cambiarli una volta al giorno visto che in ufficio non ho ip statico), e l’accesso in SSH a soli due utenti con password molto sicure. Ho inoltre ieri aggiornato all’ultima release OVH passando dalla 3.20 alla 3.22. Ed ho scoperto un’utile funzionalità, ovvero tramite mail mi mi vengono inviati gli altert di Fail2Ban.
Bene da ieri ho ricevuto circa 60 email di ban di vari IP per accesso non autorizzato in SSH al mio server, moltissimi dei quali provengono da Server hostati su OVH! Sono sicuro che le mie password non siano in mano a nessun altro, e che quindi si tratti di attacchi ripetuti e in maniera massiccia.
Come è possibile limitare questa problematica? se molti di questi “attacchi” provengono da server hostati sulla stessa rete OVH il supporto non può intervenire?
E’ normale che il mio server sia così esposto? Cosa posso fare per proteggermi meglio?
Grazie per l’aiuto
una settimana fa ho riscontrato e segnalato questo strano problema:
http://forum.ovh.it/showthread.php?6...1100#post31100
ho scritto anche al supporto che ne ignora le cause e rimanda a me la responsabilità nonostante, con log FTP ed SSH, e history della shell alla mano, non ci sia alcuna traccia di comandi che vanno a rimuovere, modificare, aggiornare quei file.
Ho ripristinato manualmente la situazione, ma sono iniziate le preoccupazioni.
Detto ciò da quel momento ho deciso di aumentare drasticamente la sicurezza del mio server, cambiando tutte le password, limitando l’accesso FTP a soli due IP (mi tocca cambiarli una volta al giorno visto che in ufficio non ho ip statico), e l’accesso in SSH a soli due utenti con password molto sicure. Ho inoltre ieri aggiornato all’ultima release OVH passando dalla 3.20 alla 3.22. Ed ho scoperto un’utile funzionalità, ovvero tramite mail mi mi vengono inviati gli altert di Fail2Ban.
Bene da ieri ho ricevuto circa 60 email di ban di vari IP per accesso non autorizzato in SSH al mio server, moltissimi dei quali provengono da Server hostati su OVH! Sono sicuro che le mie password non siano in mano a nessun altro, e che quindi si tratti di attacchi ripetuti e in maniera massiccia.
Come è possibile limitare questa problematica? se molti di questi “attacchi” provengono da server hostati sulla stessa rete OVH il supporto non può intervenire?
E’ normale che il mio server sia così esposto? Cosa posso fare per proteggermi meglio?
Grazie per l’aiuto