Да ли треба причати о безбедности на мрежи? Не? А о брутфорсу? Не??! Све познато? О-кеј! Онда ћу описати један конкретан метод за одбијање брут-форс напада.
Фактички сви сервиси који су на Интернету могу бити нападнути брут-форсом. Обично је реч о скриптовима који покушавају да преко речника провале лозинку на систему, било да је реч о веб-серверу, SSH серверу или нечем трећем.
Једноставан алат који излази на крај са овим нападима је false2ban. Основни принцип на којем се заснива рад овог програма (а и сличних, као што је нпр. denyhost) је праћење логова заштићених сервиса и уношење забрана у фајервол за адресе са којих долазе напади.
За потребе сервера у ИТлабу сам false2ban скинуо из јавног (community) репозиторијума packman. На вебу се може наћи и довољно документације. Мени најкориснији је био чланак на Сорсфорџу
У принципу, све што треба урадити након инсталације је поставити fail2ban као сервис са chkconfig –add fail2ban и мало подесити конфигурациони фајл: ставити enable уместо false за сервисе који се штите, ставити важећу и-мејл адресу уместо генеричке и поставити адресу са које уобичајено посећујете ssh (или други сервис који штитите) у листу изузетака. У тој листи је иницијално 127.0.0.1 😉
Е, да: потребно је углавном и у одељку за ssh променити подразумевани лог фајл.
Следи рестарт сервиса са:
/etc/init.d/fail2ban restart
И онда лепо убацимо /var/log/fail2ban.log као сервис који се прати кроз System Logs NG и то је то. А још стижу и мејлови о упадима. Милина 🙂
Шта је то System Logs NG, питaте се? Изузетан алат – омогућава централизовано праћење логова за разноразне сервисе. Инсталира се стандардно, а постоји и плаг-ин за Вебмин!
Ево слике:
Могу се подесити и филтери за приказ критичних порука итд.