Como configurar o Fail2Ban no CentOS

• Introdução ao Fail2Ban
• Instalando o Fail2Ban
• Definindo as configurações de Fail2Ban
• Configurando o Fail2Ban para proteger o SSH
• Iniciando o serviço Fail2Ban
• Como rastrear tentativas falhas de login

Introdução ao Fail2Ban

Por padrão, um cliente se conecta ao SSH usando a porta 22. Como essa é uma porta conhecida, a configuração padrão é vulnerável a muitos ataques de força bruta. Fail2Ban é uma solução para proteger automaticamente um servidor contra esses ataques. O programa é executado em segundo plano, verifica os arquivos de log para detectar quais IPs estão atacando e os proíbe automaticamente de acessar o SSH.

Instalando o Fail2Ban

Neste tutorial, instalaremos o Fail2Ban no CentOS 6 por meio do repositório EPEL. Execute os seguintes comandos.

yum install epel-release
yum install fail2ban

Explicação

• yum install epel-release: Instala o repositório EPEL (Pacotes Extra para Enterprise Linux).
• yum install fail2ban: Instala o Fail2Ban a partir do repositório EPEL.

Definindo as configurações de Fail2Ban

Abra o arquivo de configuração Fail2Ban.

nano /etc/fail2ban/jail.conf

No arquivo, você verá alguns parâmetros, como mostrado abaixo. Ajuste qualquer um dos valores às suas necessidades.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
ignoreip = 127.0.0.1

# "bantime" is the number of seconds that a host is banned.
bantime = 600

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime = 600

# "maxretry" is the number of failures before a host get banned.
maxretry = 3

Explicação

• ignoreip: Não banir hosts que correspondam a um endereço nesta lista. Vários endereços podem ser definidos usando o separador de espaço. Escreva seu IP pessoal nesta linha.
• bantime: O número de segundos em que um host é banido.
• findtime: Um host é banido se gerado maxretrydurante o último findtime.
• maxretry: O número de falhas antes que um host seja banido.

Configurando o Fail2Ban para proteger o SSH

Primeiro, precisamos criar um arquivo de configuração.

nano /etc/fail2ban/jail.local

Copie as linhas abaixo e cole no arquivo.

[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
#           sendmail-whois[name=SSH, dest=root, sender=fail2ban@example.com]
logpath  = /var/log/secure
maxretry = 5

• enabled: Ativa a proteção. Se você deseja desativá-lo, altere o valor para false.
• filter: Por padrão, é definido como sshd, que se refere ao arquivo /etc/fail2ban/filter.d/sshd.conf.
• action: Fail2Ban banirá o IP que corresponde ao filtro /etc/fail2ban/action.d/iptables.conf. Se você alterou a porta SSH antes, altere port=sshpara a nova porta, por exemplo port=2222. Se você estiver usando a porta 22, não precisará alterar o valor.
• logpath: O caminho do arquivo de log usado pelo Fail2Ban.
• maxretry: O número máximo de tentativas de login com falha.

Iniciando o serviço Fail2Ban

Execute estes dois comandos abaixo para iniciar o serviço Fail2Ban:

chkconfig --level 23 fail2ban on
service fail2ban start

Por fim, verifique iptablesse as regras foram adicionadas pelo Fail2Ban.

iptables -L

O resultado será semelhante a esta saída.

Chain INPUT (policy ACCEPT)
target prot opt source destination
f2b-SSH tcp -- anywhere anywhere tcp dpt:EtherNet/IP-1

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain f2b-SSH (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Como rastrear tentativas falhas de login

Você pode usar este comando para verificar se o servidor teve falhas nas tentativas de login (possíveis ataques).

cat /var/log/secure | grep 'Failed password'

O resultado será semelhante a essas linhas.

Dec  6 22:47:12 vultr sshd[7942]: Failed password for root from 43.229.53.67 port 23021 ssh2
Dec  6 22:47:15 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:16 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:18 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:31 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:34 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:36 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:39 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:41 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:43 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:47 vultr sshd[7952]: Failed password for root from 43.229.53.67 port 62846 ssh2
Dec  6 22:47:49 vultr sshd[7952]: Failed password for root from 43.229.53.67 port 62846 ssh2

Para visualizar quais IPs foram banidos, use o seguinte comando.

iptables -L -n

Para excluir um endereço IP da lista proibida, execute o seguinte comando. Mude banned_ippara o IP que você deseja desbanir.

iptables -D f2b-SSH -s banned_ip -j DROP