Oggi ci occuperemo di installare, e configurare fail2ban non solo perché blocchi le eventuali minacce verso il nostro sistema, ma perché contribuisca a segnalare la provenienza degli attacchi al sito blocklist.de.
Quindi, il nostro sistema sarà in grado di leggere i segnali di attività sospette dirette verso il nostro server e attivare le protezioni firewall del caso.
Cosa c’è nel cofano?! (What is all this about?)
Fail2ban passa al setaccio i nostri file di log (e.g. /var/log/apache/error_log) e provvede a bloccare gli IP che si comportano in modo anomalo (tentativi falliti di inserimento password, invio di exploits, etc..). Fail2ban una volta individuata la minaccia istruirà il nostro firewall perché impedisca a quell’IP per un tempo determinato di continuare nel suo scopo. Potra inoltre compiere anche altre determinate azioni, come ad esempio inviare una mail all’amministratore del sistema con i dettagli della minaccia e vari report sull’IP bloccato.
Al momento della sua installazione Fail2ban ha già con se un corretto di filtri per vari servizi (apache, courier, postfix, dovecot, ssh, etc..). Noi vedremo come implementarle e renderle se mai più stringenti e performanti.
Prestate attenzione: Fail2ban sarà anche in grado di rilevare eventuali minacce che nullafacenti possono lanciare contro il nostro server, ma nulla può impedire a chiunque di violare un sistema che usi scarsi fattori di protezione/autenticazione!
Verificate che il vostro sistema sia aggiornato! (se non lo fosse… beh … fatelo!!!)
ABILITIAMO FAIL2BAN
Installiamo ciò che è necessario
apt-get install fail2ban
Prima di procedere oltre andate su blocklist.de e registratevi. Aggiungete i vostri server e ottenete per ognuno una relativa API-Key. Per ogni server assegnate una mail univoca!!!
PROCEDIAMO CON LA CONFIGURAZIONE
Ora, i file di configurazione che vengono installati attraverso il pacchetto di fail2ban sono un po’ scarni. Noi li sostituiremo con qualcosa di più performante e che contenga già il tutto per inviare le nostre segnalazioni a blocklist.de!
Scaricate da github.com il seguente file .zip
cd /tmp; wget -c https://github.com/fail2ban/fail2ban/archive/master.zip -O fail2ban.zip unzip fail2ban.zip
Se il servizio è già attivo fermiamolo e procediamo alla sostituzione dei file di configurazione (meglio se fate un backup della cartella /etc/fail2ban):
service fail2ban stop cd /tmp/fail2ban-master rm -rf /etc/fail2ban/* cp -arfv config/* /etc/fail2ban/
Quasi finito…
Adesso non dobbiamo fare altro che creare il file /etc/fail2ban/jail.local. Questo file sovrascriverà ogni altra configurazione adeguando il tutto alle nostre esigenze.
vi /etc/fail2ban/jail.local
Vi lascio, a titolo di esempio, il mio jail.local. Potrete notare come ci sia un modifica ablazione predefinita di segnalazione. Oltre alla segnalazione verrà inviata una mail all’amministratore con i dettagli sia dell’IP che del tipo di minaccia. Ricordatevi di sostituire i dati delle email e della chiave API assegnata al vostro server…
Forse ho dimenticato di dirvi una cosa: la segnalazione del relativo IP va confermata. Riceverete quindi una mail per confermare la bontà della segnalazione.
Partecipare perché la rete sia un posto migliore è un dovere di tutti, quindi prendete la cosa in maniera seria e buon lavoro!