16 de enero de 2019

Fail2ban - Instalación

Instalar Fail2ban en Centos 7

Lo primero es instalar fail2ban, para ello los siguientes comandos:

# yum update
# yum install epel-release
# yum install fail2ban-all

Una vez instalado vamos a crear una copia del archivo de configuración que se encuentra en
/etc/fail2ban/jail.conf y la copia será llamada “jail.local”.
# cd /etc/fail2ban/
# cp jail.conf jail.local

Ahora crearemos un archivo de configuración para ssh, nos movemos a la carpeta /etc/fail2ban/jail.d y creamos el archivo llamado sshd.local donde estarán las
configuraciones para proteger el servicio ssh
# cd /etc/fail2ban/jail.d
# touch sshd.local

Y agregamos lo siguiente en el archivo:

[sshd]
enabled = true
port = ssh
logpath = %(sshd_log)s
maxretry = 5
bantime = 86400

Guardamos los cambios. Ahora solo resta activar el servicio y ver que funcione correctamente para ello utilizamos los siguientes comandos:
# systemctl enable fail2ban
# systemctl start fail2ban

Con eso el programa ya estará activo, ahora veamos si esta correctamente funcionando.
comando para verificar la ejecución:
# fail2ban-client ping
La respuesta que recibimos es: Server replied: pong

Con el siguiente comando nos mostrará los servicios que estamos protegiendo en ese momento, en
nuestro caso ssh.
# fail2ban-client status
Status
|- Number of jail: 1
'-Jail list: sshd

Si queremos verificar que ips ya se han baneado usamos el comando:
# fail2ban-client status sshd
o
# iptables -L

También podemos agregar ip's para que estas no sean baneadas.
Digamos que deseamos que la ip 192.168.1.3 nunca se banee, necesitamos lo siguiente:
# fail2ban-client set sshd addignoreip 192.168.1.3
Incluso se puede ignorar redes o subredes
# fail2ban-client set sshd addignoreip 192.168.1.0/24
Si queremos verificar que ip's están como ignoradas usamos el comando:
# fail2ban-client get sshd ignoreip
Si deseamos eliminar alguna ip de las que son ignoradas usamos lo siguiente:
# fail2ban-client set sshd delignoreip 192.168.1.3
Si queremos bloquear una ip manualmente usamos el comando:
# fail2ban-client set sshd banip 192.168.1.2
Si deseamos quitar una ip baneada usamos:
# fail2ban-client set sshd unbanip 192.168.1.2

No hay comentarios.: