Fail2Ban és Tinyhoneypot védelem leírás

 ( nagyorgy | 2016. március 1., kedd - 20:44 )

Kedves Klubtársaim!

Írtam egy rövid Copy+Paste jellegű útmutatót a Fail2Ban és a Tinyhoneypot együttműködés beállításáról.
A lényege annyi, hogy az adott gépen nem a 22 porton megy az ssh.
Ellenben a Tinyhoneypot nyitva tartja a 22 -es portot és ha valaki megpróbál belépni, akkor a Fail2Ban minden kapcsolatot letilt a valakivel.
A HowtoForge oldalon tettem közkincsé, itt ni ->
https://www.howtoforge.com/tutorial/increase-ipv4-security-with-fail2ban-and-tinyhoneypot-on-debian-jessie

Az alapötletet Gerendás Zoltán (Linuxakadémia) adta.

..és egy kis ráadás annak, aki a kezdeti roham után visszanéz ide
Egy kis kiegészítés, ha még inkább növelni szeretnénk a paranoia üzemmód beállítását.
E rövid kiegészítés előfeltétele, hogy a howtoforge oldalon található „thpot.local” szűrőt elkészítsd.

1,) Készítsünk egy /etc/rsyslog.d/hard2ban.conf fájlt. Aminek össz - vissz ennyi a tartalma:
:msg,contains,"INPUT:BAN" /var/log/fwBAN.log

2,) Vigyünk tetszőleges portokra log generáló szabályokat a tűzfalunk láncolatába: pl → 25 port
iptables -I INPUT 3 -p tcp -m tcp --dport 25 -j LOG --log-prefix "INPUT:BAN:" --log-level 2

3,) Egészítsük ki az /etc/fail2ban/jail.local fájlt az alábbi tartalommal:

[portBANlog]

enabled = true
port = all
filter = thpot
logpath = /var/log/fwBAN.log
banaction = iptables-allports
maxretry = 1
findtime = 1800
bantime = 99999

4,) Az iptables -I INPUT 3 -p tcp -m tcp --dport ${PORT} -j LOG --log-prefix "INPUT:BAN:" --log-level 2 szabályt tetszőleges mennyiségben kiadhatod, de a PORT értéke mindig más legyen...és nehogy kitiltsd magad :)

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

subscribe

+1

+1

Köszönjük! Nagyon hasznos gondolat volt a közzététele.

:-)

Nekem is tetszik, amúgy mi is a "cat /etc/fail2ban/filter.d/thpot.local" file tartalma (hibának megfejtése) :)?

Már javítva!!! Köszi a figyelmeztetést.

A kezdő Howtoforge tartalombeküldők tipikus hibájába estem.
A (NyitóTAG) HOST (ZáróTAG) tartalmat nem jelenítette meg a site engine -je.
Ott nincs preview, mint itt.
Az EOF meg benne maradt véletlen. Az eredeti doksiban így akartam létrehozni a fájl
http://nagyorgy.web.elte.hu/thpt.local.png
Szerkesztési nehézségek miatt inkább kihagytam az EOF részeket.

Egyértelmű legyen ;)


[Definition]
failregex = SRC=
ignoreregex =