Защищённость ОТ сети

Противодействие хакерским угрозам

Модераторы: Olej, adminn, vikos

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Защищённость ОТ сети

Непрочитанное сообщение Olej » 23 янв 2017, 19:57

Продолжаю разбираться с проектом fail2ban.
Этот проект кажется очень удачным!
Olej писал(а):Внимание!:
- при отработке (тестировании) подобных инструментов нужно прежде тестирования выяснить способ снять бан с забаненного лога;
- тестирование работоспособности таких инструментов не нужно производить от своего имени пользователя ;-) - заведите для этих целей отдельно специального пользователя ... что-нибудь: moron, fool, stupid, freak ... и на нём репетируйте;
Создаю парочку придурков-хакеров:

Код: Выделить всё

[olej@dell 13]$ sudo adduser stupid
[olej@dell 13]$ sudo adduser freak
[olej@dell 13]$ sudo usermod -a -G stupid,freak olej

Код: Выделить всё

[olej@dell home]$ sudo chmod a+x stupid
[olej@dell home]$ sudo chmod a+x freak
[olej@dell home]$ sudo chmod a+r stupid
[olej@dell home]$ sudo chmod a+r freak
... для придурков и этого более чем достаточно :

Код: Выделить всё

[olej@dell home]$ ls -l -n
итого 0
drwxr-xr-x  1 1002 1002   94 янв 23 18:21 freak
drwx------. 1 1000 1000 1570 янв 20 09:56 olej
drwxr-xr-x  1 1001 1001   94 янв 23 18:19 stupid
Вложения
freak.png
stupid.png
stupid.png (17.16 КБ) 4165 просмотров

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Защищённость ОТ сети

Непрочитанное сообщение Olej » 23 янв 2017, 22:46

Olej писал(а):Продолжаю разбираться с проектом fail2ban.
Этот проект кажется очень удачным!
К счастью, в новых дистрибутивах это счастье ставится из стандартных репозиториев:

Код: Выделить всё

[olej@dell home]$ sudo dnf install fail2ban*
[sudo] пароль для olej:
Последняя проверка окончания срока действия метаданных: 1:13:19 назад, Mon Jan 23 17:39:49 2017.
Зависимости разрешены.
======================================================================================================================================
 Package                             Архитектура             Версия                            Репозиторий                      Размер
======================================================================================================================================
Установка:
 fail2ban                            noarch                  0.9.5-3.fc23                      updates-testing                   14 k
 fail2ban-all                        noarch                  0.9.5-3.fc23                      updates-testing                   13 k
 fail2ban-firewalld                  noarch                  0.9.5-3.fc23                      updates-testing                   14 k
 fail2ban-hostsdeny                  noarch                  0.9.5-3.fc23                      updates-testing                   14 k
 fail2ban-mail                       noarch                  0.9.5-3.fc23                      updates-testing                   17 k
 fail2ban-sendmail                   noarch                  0.9.5-3.fc23                      updates-testing                   16 k
 fail2ban-server                     noarch                  0.9.5-3.fc23                      updates-testing                  433 k
 fail2ban-shorewall                  noarch                  0.9.5-3.fc23                      updates-testing                   14 k
 fail2ban-systemd                    noarch                  0.9.5-3.fc23                      updates-testing                   14 k
 gamin-python                        x86_64                  0.1.10-22.fc23                    updates                           30 k
 python2-systemd                     x86_64                  231-4.fc23                        updates                           67 k
 shorewall                           noarch                  4.6.11.1-2.fc23                   fedora                           603 k
 shorewall-core                      noarch                  4.6.11.1-2.fc23                   fedora                            83 k

Результат операции
======================================================================================================================================
Установка  13 Пакетов

Объем загрузки: 1.3 M
Объем изменений: 4.5 M
Продолжить? [д/Н]: y
Загрузка пакетов:
(1/13): fail2ban-all-0.9.5-3.fc23.noarch.rpm                                                           45 kB/s |  13 kB     00:00
(2/13): fail2ban-0.9.5-3.fc23.noarch.rpm                                                              119 kB/s |  14 kB     00:00
(3/13): fail2ban-sendmail-0.9.5-3.fc23.noarch.rpm                                                      39 kB/s |  16 kB     00:00
(4/13): fail2ban-hostsdeny-0.9.5-3.fc23.noarch.rpm                                                    147 kB/s |  14 kB     00:00
(5/13): fail2ban-firewalld-0.9.5-3.fc23.noarch.rpm                                                    112 kB/s |  14 kB     00:00
(6/13): fail2ban-mail-0.9.5-3.fc23.noarch.rpm                                                         493 kB/s |  17 kB     00:00
(7/13): fail2ban-shorewall-0.9.5-3.fc23.noarch.rpm                                                    203 kB/s |  14 kB     00:00
(8/13): fail2ban-systemd-0.9.5-3.fc23.noarch.rpm                                                      228 kB/s |  14 kB     00:00
(9/13): fail2ban-server-0.9.5-3.fc23.noarch.rpm                                                       556 kB/s | 433 kB     00:00
(10/13): shorewall-core-4.6.11.1-2.fc23.noarch.rpm                                                    297 kB/s |  83 kB     00:00
(11/13): gamin-python-0.1.10-22.fc23.x86_64.rpm                                                       135 kB/s |  30 kB     00:00
(12/13): python2-systemd-231-4.fc23.x86_64.rpm                                                        358 kB/s |  67 kB     00:00
(13/13): shorewall-4.6.11.1-2.fc23.noarch.rpm                                                         1.1 MB/s | 603 kB     00:00
--------------------------------------------------------------------------------------------------------------------------------------
Общий размер                                                                                          125 kB/s | 1.3 MB     00:10
Проверка транзакции
Проверка транзакции успешно завершена.
Идет проверка транзакции
Тест транзакции проведен успешно
Выполнение транзакции
  Установка    : python2-systemd-231-4.fc23.x86_64                                                                               1/13
  Установка    : fail2ban-server-0.9.5-3.fc23.noarch                                                                             2/13
  Установка    : fail2ban-sendmail-0.9.5-3.fc23.noarch                                                                           3/13
  Установка    : fail2ban-firewalld-0.9.5-3.fc23.noarch                                                                          4/13
  Установка    : fail2ban-hostsdeny-0.9.5-3.fc23.noarch                                                                          5/13
  Установка    : fail2ban-mail-0.9.5-3.fc23.noarch                                                                               6/13
  Установка    : gamin-python-0.1.10-22.fc23.x86_64                                                                              7/13
  Установка    : shorewall-core-4.6.11.1-2.fc23.noarch                                                                           8/13
  Установка    : shorewall-4.6.11.1-2.fc23.noarch                                                                                9/13
  Установка    : fail2ban-shorewall-0.9.5-3.fc23.noarch                                                                         10/13
  Установка    : fail2ban-all-0.9.5-3.fc23.noarch                                                                               11/13
  Установка    : fail2ban-0.9.5-3.fc23.noarch                                                                                   12/13
  Установка    : fail2ban-systemd-0.9.5-3.fc23.noarch                                                                           13/13
  Проверка     : fail2ban-sendmail-0.9.5-3.fc23.noarch                                                                           1/13
  Проверка     : fail2ban-server-0.9.5-3.fc23.noarch                                                                             2/13
  Проверка     : fail2ban-all-0.9.5-3.fc23.noarch                                                                                3/13
  Проверка     : fail2ban-0.9.5-3.fc23.noarch                                                                                    4/13
  Проверка     : fail2ban-firewalld-0.9.5-3.fc23.noarch                                                                          5/13
  Проверка     : fail2ban-hostsdeny-0.9.5-3.fc23.noarch                                                                          6/13
  Проверка     : fail2ban-mail-0.9.5-3.fc23.noarch                                                                               7/13
  Проверка     : fail2ban-shorewall-0.9.5-3.fc23.noarch                                                                          8/13
  Проверка     : fail2ban-systemd-0.9.5-3.fc23.noarch                                                                            9/13
  Проверка     : shorewall-4.6.11.1-2.fc23.noarch                                                                               10/13
  Проверка     : shorewall-core-4.6.11.1-2.fc23.noarch                                                                          11/13
  Проверка     : gamin-python-0.1.10-22.fc23.x86_64                                                                             12/13
  Проверка     : python2-systemd-231-4.fc23.x86_64                                                                              13/13

Установлено:
  fail2ban.noarch 0.9.5-3.fc23                fail2ban-all.noarch 0.9.5-3.fc23            fail2ban-firewalld.noarch 0.9.5-3.fc23
  fail2ban-hostsdeny.noarch 0.9.5-3.fc23      fail2ban-mail.noarch 0.9.5-3.fc23           fail2ban-sendmail.noarch 0.9.5-3.fc23
  fail2ban-server.noarch 0.9.5-3.fc23         fail2ban-shorewall.noarch 0.9.5-3.fc23      fail2ban-systemd.noarch 0.9.5-3.fc23
  gamin-python.x86_64 0.1.10-22.fc23          python2-systemd.x86_64 231-4.fc23           shorewall.noarch 4.6.11.1-2.fc23
  shorewall-core.noarch 4.6.11.1-2.fc23

Выполнено!
Всё конфигурирование здесь:

Код: Выделить всё

[root@dell etc]# tree /etc/fail2ban 
/etc/fail2ban
├── action.d
│   ├── apf.conf
│   ├── badips.conf
│   ├── badips.py
│   ├── badips.pyc
│   ├── badips.pyo
│   ├── blocklist_de.conf
│   ├── cloudflare.conf
│   ├── complain.conf
│   ├── dshield.conf
│   ├── dummy.conf
│   ├── firewallcmd-allports.conf
│   ├── firewallcmd-ipset.conf
│   ├── firewallcmd-multiport.conf
│   ├── firewallcmd-new.conf
│   ├── firewallcmd-rich-logging.conf
│   ├── firewallcmd-rich-rules.conf
│   ├── hostsdeny.conf
│   ├── iptables-allports.conf
│   ├── iptables-common.conf
│   ├── iptables.conf
│   ├── iptables-ipset-proto4.conf
│   ├── iptables-ipset-proto6-allports.conf
│   ├── iptables-ipset-proto6.conf
│   ├── iptables-multiport.conf
│   ├── iptables-multiport-log.conf
│   ├── iptables-new.conf
│   ├── iptables-xt_recent-echo.conf
│   ├── mail-buffered.conf
│   ├── mail.conf
│   ├── mail-whois-common.conf
│   ├── mail-whois.conf
│   ├── mail-whois-lines.conf
│   ├── mynetwatchman.conf
│   ├── nftables-allports.conf
│   ├── nftables-common.conf
│   ├── nftables-multiport.conf
│   ├── nsupdate.conf
│   ├── route.conf
│   ├── sendmail-buffered.conf
│   ├── sendmail-common.conf
│   ├── sendmail.conf
│   ├── sendmail-geoip-lines.conf
│   ├── sendmail-whois.conf
│   ├── sendmail-whois-ipjailmatches.conf
│   ├── sendmail-whois-ipmatches.conf
│   ├── sendmail-whois-lines.conf
│   ├── sendmail-whois-matches.conf
│   ├── shorewall.conf
│   ├── shorewall-ipset-proto6.conf
│   ├── smtp.py
│   ├── smtp.pyc
│   ├── smtp.pyo
│   ├── symbiosis-blacklist-allports.conf
│   └── xarf-login-attack.conf
├── fail2ban.conf
├── fail2ban.d
├── filter.d
│   ├── 3proxy.conf
│   ├── apache-auth.conf
│   ├── apache-badbots.conf
│   ├── apache-botsearch.conf
│   ├── apache-common.conf
│   ├── apache-fakegooglebot.conf
│   ├── apache-modsecurity.conf
│   ├── apache-nohome.conf
│   ├── apache-noscript.conf
│   ├── apache-overflows.conf
│   ├── apache-pass.conf
│   ├── apache-shellshock.conf
│   ├── assp.conf
│   ├── asterisk.conf
│   ├── botsearch-common.conf
│   ├── common.conf
│   ├── counter-strike.conf
│   ├── courier-auth.conf
│   ├── courier-smtp.conf
│   ├── cyrus-imap.conf
│   ├── directadmin.conf
│   ├── dovecot.conf
│   ├── dropbear.conf
│   ├── drupal-auth.conf
│   ├── ejabberd-auth.conf
│   ├── exim-common.conf
│   ├── exim.conf
│   ├── exim-spam.conf
│   ├── freeswitch.conf
│   ├── froxlor-auth.conf
│   ├── groupoffice.conf
│   ├── gssftpd.conf
│   ├── guacamole.conf
│   ├── haproxy-http-auth.conf
│   ├── horde.conf
│   ├── ignorecommands
│   │   └── apache-fakegooglebot
│   ├── kerio.conf
│   ├── lighttpd-auth.conf
│   ├── monit.conf
│   ├── murmur.conf
│   ├── mysqld-auth.conf
│   ├── nagios.conf
│   ├── named-refused.conf
│   ├── nginx-botsearch.conf
│   ├── nginx-http-auth.conf
│   ├── nginx-limit-req.conf
│   ├── nsd.conf
│   ├── openhab.conf
│   ├── openwebmail.conf
│   ├── oracleims.conf
│   ├── pam-generic.conf
│   ├── perdition.conf
│   ├── php-url-fopen.conf
│   ├── portsentry.conf
│   ├── postfix.conf
│   ├── postfix-rbl.conf
│   ├── postfix-sasl.conf
│   ├── proftpd.conf
│   ├── pure-ftpd.conf
│   ├── qmail.conf
│   ├── recidive.conf
│   ├── roundcube-auth.conf
│   ├── screensharingd.conf
│   ├── selinux-common.conf
│   ├── selinux-ssh.conf
│   ├── sendmail-auth.conf
│   ├── sendmail-reject.conf
│   ├── sieve.conf
│   ├── slapd.conf
│   ├── sogo-auth.conf
│   ├── solid-pop3d.conf
│   ├── squid.conf
│   ├── squirrelmail.conf
│   ├── sshd.conf
│   ├── sshd-ddos.conf
│   ├── stunnel.conf
│   ├── suhosin.conf
│   ├── tine20.conf
│   ├── uwimap-auth.conf
│   ├── vsftpd.conf
│   ├── webmin-auth.conf
│   ├── wuftpd.conf
│   └── xinetd-fail.conf
├── jail.conf
├── jail.d
│   ├── 00-firewalld.conf
│   └── 00-systemd.conf
├── paths-common.conf
├── paths-debian.conf
├── paths-fedora.conf
├── paths-freebsd.conf
├── paths-opensuse.conf
└── paths-osx.conf

5 directories, 147 files

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Защищённость ОТ сети

Непрочитанное сообщение Olej » 24 янв 2017, 00:04

Olej писал(а):Продолжаю разбираться с проектом fail2ban.
Этот проект кажется очень удачным!
Собираем что там внятного опубликовано по использованию/конфигурированию fail2ban?

Защита сетевых сервисов с помощью Fail2ban: Часть 1. Общие принципы функционирования и конфигурирования подсистемы Fail2ban

Защита сетевых сервисов с помощью Fail2ban: Часть 2. Примеры конфигурации

Удалённый доступ
По умолчанию защита от брутфорса для SSH включена.
Основная идея Fail2ban - при превышении заданного числа неудачных вводов пароля подряд (по умолчанию - 6) бан IP, с которого были попытки подбора на заданное время (по умолчанию - 600 секунд).

Код: Выделить всё

[ssh-iptables]
enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
logpath  = /var/log/secure
maxretry = 3
Вопрос в том, как банить придурка не на 600 секунд, а навсегда - блокировать или ликвидировать учётную запись?
А если блокировать, то каким способом её разблокировать?

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Защищённость ОТ сети

Непрочитанное сообщение Olej » 24 янв 2017, 16:57

Olej писал(а): К счастью, в новых дистрибутивах это счастье ставится из стандартных репозиториев:
После чего мы имеем сервис:

Код: Выделить всё

[olej@dell 13]$ ls /lib/systemd/system/ | grep fail2ban
fail2ban.service
Первоначально (после инсталляции) сервис остановлен. Проверим его запуск:

Код: Выделить всё

[olej@dell 13]$ service fail2ban status
Redirecting to /bin/systemctl status  fail2ban.service
● fail2ban.service - Fail2Ban Service
   Loaded: loaded (/usr/lib/systemd/system/fail2ban.service; disabled; vendor preset: disabled)
   Active: inactive (dead)
     Docs: man:fail2ban(1)

[olej@dell 13]$ sudo service fail2ban start
[sudo] пароль для olej: 
Redirecting to /bin/systemctl start  fail2ban.service
[olej@dell 13]$ service fail2ban status
Redirecting to /bin/systemctl status  fail2ban.service
● fail2ban.service - Fail2Ban Service
   Loaded: loaded (/usr/lib/systemd/system/fail2ban.service; disabled; vendor preset: disabled)
   Active: active (running) since Вт 2017-01-24 15:54:24 EET; 3s ago
     Docs: man:fail2ban(1)
  Process: 6726 ExecStart=/usr/bin/fail2ban-client -x start (code=exited, status=0/SUCCESS)
 Main PID: 6799 (fail2ban-server)
   CGroup: /system.slice/fail2ban.service
           └─6799 /usr/bin/python2 -s /usr/bin/fail2ban-server -s /var/run/fail2ban/fail2ban.sock -p /var/run/fail2ban/fail2ban.pid...

янв 24 15:54:23 dell.localdomain systemd[1]: Starting Fail2Ban Service...
янв 24 15:54:24 dell.localdomain fail2ban-client[6726]: 2017-01-24 15:54:24,916 fail2ban.server         [6797]: INFO    Sta...0.9.5
янв 24 15:54:24 dell.localdomain fail2ban-client[6726]: 2017-01-24 15:54:24,916 fail2ban.server         [6797]: INFO    Sta... mode
янв 24 15:54:24 dell.localdomain systemd[1]: Started Fail2Ban Service.
Hint: Some lines were ellipsized, use -l to show in full.
Проверив на работоспособность, пока я его ... от греха подальше ;-) , остановлю, до выполнения конфигурации под свои цели.

Код: Выделить всё

[olej@dell 13]$ sudo service fail2ban stop
Redirecting to /bin/systemctl stop  fail2ban.service

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

защита: отказ в авторизации

Непрочитанное сообщение Olej » 24 янв 2017, 17:08

Речь идёт об одном из способов "дать отлуп" злоумышленнику-хакеру, делающий бессмысленными любые способы подбора/перебора паролей (то, что эти уроды гордо называют "брутфорс").
Способ то сам прост и изящен: при превышении заданного числа неудачных попыток вводов пароля подряд - злоумышленник отражается, банится...

Причём ... похоже, что умело раскрутив такие средства, все эти их многочисленные программные средства и инструменты, гордо именуемые "программы взлома пароля" радикально делаются бессмысленными и бесцельными ... все и сразу. Дальше они со своими программными средствами могут продолжать взламывать разве что закрытую дверь общественного сортира за углом. :lol:

Но для этого этими инструментами защиты нужно воспользоваться умело ... а, кроме того, ещё и смоделировать атаку и оттестировать её отражение.

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: защита: отказ в авторизации

Непрочитанное сообщение Olej » 24 янв 2017, 17:25

Olej писал(а):Способ то сам прост и изящен: при превышении заданного числа неудачных попыток вводов пароля подряд - злоумышленник отражается, банится...
Здесь сразу нужно разграничить (и рассматривать их далее по отдельности) есть (как минимум ... то что я на сейчас вижу) 3 разных варианта, очень различающихся по конечному достигаемому эффекту:

1. При превышении заданного числа неудачных попыток вводов пароля в сессии - сессия (попытка) завершается (неудачей).
Это, например: вход по SSH, выполнение su в терминальной сессии (перелгин), логин в текстовой консоли (Ctrl+Alt+F2 и т.д.), GUI окно логин при входе в DE и т.д.
Неприятность здесь в том, что сессию (вход) можно тут же повторить.

2. При превышении заданного числа неудачных попыток вводов пароля в сессии - следующую сессию можно будет попытаться повторить только через значительный промежутой тайм-аута ... скажем 600 сек. = 10 мин. ... или 4 часа ;-).
Здесь всё гораздо противнее: хотите 100 попыток подбора пароля? пожалуйста ... вам на это отводится ... 24 часа поуродоваться :cry:

3. Как вариант пред. варианта - при превышении заданного числа неудачных попыток вводов пароля имя пользователя блокируется навечно, навсегда...
Совсем приятный вариант.
Но прежде, чем его использовать, нужно обязательно изучить возможность восстановления доступа для имени + оттестировать работу этой возможности.

Для реализации всех таких возможностей могут использоваться а). стандартные возможности (конфигурируемые) подсистем Linux (sshd, ftpd и др.), или б). специальные программные проекты от сторонних производителей (fail2ban и др.).
По первым (п. а)) я для себя здесь далее проведу систематизацию, в качестве памятки, а по вторым (п. б)) - проделаю отбор, установку и проверку.
Делаю я это для себя для памятки, но может кому и ещё покажется полезным и интересным.

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Защищённость ОТ сети

Непрочитанное сообщение Olej » 24 янв 2017, 17:57

Olej писал(а):Создание и настройка входа через ssh
Предотвращение брутфорс-атак
...
- Целесообразно ограничить число «ожидающих» соединений, когда пароль еще не введен. Для этого, в файле /etc/openssh/sshd_config укажите строку

Код: Выделить всё

MaxStartups 2:70:10
В этом случае у вас будут разрешены только 2 «ожидающих» соединения, и каждое следующее будет сброшено с вероятностью 70 %
(уточнения)
sshd (8)
MaxStartups
Определяет максимальное число одновременных неавторизованных подключений к демону sshd. Дополнительные подключения будут отвергнуты до тех пор, пока не будет произведена аутентификация или не истечет LoginGraceTime для соединения. Значение по умолчанию 10.
Как альтернатива может быть задействован ранний произвольный сброс путем указания трех разделенных через двоеточие значений ``старт:норма:полная'' (т.е., "10:30:60"). sshd отвергнет соединение с вероятностью ``норма/100'' (30%) если имеется ``старт'' (10) неавторизованных соединений. Вероятность возрастает линейно и все попытки соединения будут отвергнуты при достижении числа неавторизованных соединений значения ``полная'' (60).
sshd_config (5)
MaxAuthTries
Ограничение на число попыток идентифицировать себя в течение одного соединения. При достижении количества неудачных попыток аутентификации записи о последующих неудачах будут вносится в протокол. Значение по умолчанию - 6.
В оригинально man (online) это утверждение другое (перевод мой):
Максимальное число попыток аутентификации, разрешенных на подключение. Как только количество отказов
достигает половины этого значения, дополнительные отказы регистрируются. Значение по умолчанию - 6.
Но поведение (дефаултное) sshd другое:
- число неудачных попыток на сессию - 3;
- неудачные попытки логируются с самого начала, с 1-й.

Я этого не понимаю: какое бы не установить значение MaxAuthTries (или дефаултное 6) - допускается неизменно 3 попытки авторизации.
Я завёл 2-х пользователей-придурков с красивыми именами freak и stupid ... и вот (после рестарта sshd):

Код: Выделить всё

[stupid@dell ~]$ ssh stupid@localhost
stupid@localhost's password: 
Permission denied, please try again.
stupid@localhost's password: 
Permission denied, please try again.
stupid@localhost's password: 
Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).

Код: Выделить всё

[root@dell ssh]# cat /etc/ssh/sshd_config  | grep MaxAuthTries
MaxAuthTries 4

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Защищённость ОТ сети

Непрочитанное сообщение Olej » 24 янв 2017, 19:23

Olej писал(а):Проверив на работоспособность, пока я его ... от греха подальше ;-) , остановлю, до выполнения конфигурации под свои цели.
Продолжаю разбираться с fail2ban.

Код: Выделить всё

[root@dell fail2ban]# ls -l /etc/fail2ban
итого 52
drwxr-xr-x 1 root root  2076 янв 23 18:54 action.d
-rw-r--r-- 1 root root  2328 июл 15  2016 fail2ban.conf
drwxr-xr-x 1 root root     0 окт  4 01:43 fail2ban.d
drwxr-xr-x 1 root root  2526 янв 23 18:53 filter.d
-rw-r--r-- 1 root root 21008 окт  4 01:43 jail.conf
drwxr-xr-x 1 root root    64 янв 23 18:54 jail.d
-rw-r--r-- 1 root root  2375 июл 15  2016 paths-common.conf
-rw-r--r-- 1 root root   642 июл 15  2016 paths-debian.conf
-rw-r--r-- 1 root root  1070 июл 15  2016 paths-fedora.conf
-rw-r--r-- 1 root root  1174 июл 15  2016 paths-freebsd.conf
-rw-r--r-- 1 root root   659 июл 15  2016 paths-opensuse.conf
-rw-r--r-- 1 root root   290 июл 15  2016 paths-osx.conf
Это набор фильтров (filter.d), которые определяют потенциальные угрозы, действий (action.d) которые предписывают как поступить с обнаруженным хакером-уродцем, и (самое важное!) набор изоляторов (jails.conf, jails.d) которые связывают какие действия применить к уроду при событиях, идентифицируемые фильтром.
Вот изоляторы и их написание - это и есть самая важная часть!
Защита сетевых сервисов с помощью Fail2ban: Часть 2. Примеры конфигурации
Листинг 2. Конфигурация изолятора для сервиса ssh

Код: Выделить всё

[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/secure
maxretry = 5
Здесь определена типовая конфигурация для наблюдения за сервисом ssh, которая предписывает сканирование журнала /var/log/secure с использованием фильтра sshd (файл sshd.conf). Если в журнале будет обнаружено 5 попыток атаки на порт сервиса ssh, то IP-адрес, с которого производились эти попытки, будет заблокирован (действие по умолчанию).
При необходимости к описанной в листинге конфигурации можно добавить определение параметра action.

Код: Выделить всё

action = iptables
Этот параметр определяет, какие операции (действия) необходимо выполнить в том случае, когда обнаружены "подозрительные совпадения" с помощью заданного фильтра. Значением является имя файла, расположенного в подкаталоге /etc/fail2ban/action.d/, но без указания его расширения .conf. Таким образом, в данном случае параметр action ссылается на файл /etc/fail2ban/action.d/iptables.conf, и блокирование "агрессивного" IP-адреса будет выполнено посредством изменения правил сетевого экрана iptables.
Подробно о написании изоляторов см. :

Код: Выделить всё

[olej@dell Messanger]$ man 5 jail.conf
...

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Защищённость ОТ сети

Непрочитанное сообщение Olej » 25 янв 2017, 11:39

Olej писал(а): Это набор фильтров (filter.d), которые определяют потенциальные угрозы, действий (action.d) которые предписывают как поступить с обнаруженным хакером-уродцем, и (самое важное!) набор изоляторов (jails.conf, jails.d) которые связывают какие действия применить к уроду при событиях, идентифицируемые фильтром.
Фильтры работают основываясь на сканировании системного журнала, отбирая сообщения отказа на основе регулярных выражений (фильтры и есть, собственно, выписанными регулярными выражениями).

Но понимая это, нужно быть настороже на предмет локализованных ОС и программных подсистем - можно получать сообщения в журнал не на том языке!
По крайней мере, это нужно проверять.

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Защищённость ОТ сети

Непрочитанное сообщение Olej » 25 янв 2017, 18:03

Отвлекаясь опять в (ту же) сторону - повышение защищённости SSH подключения, вот такая статья попалась: Прочь, малолетние хакеры!... здесь всё те же, в основном, но ... можете почитать.
Меня же здесь заинтересовала фраза:
Также можно запустить программу просмотра системного журнала на предмет повторяющихся неудачных попыток входа по SSH и добавить адрес источника в правила брандмауэра, застопорив все дальнейшие соединения с этого адреса на заданное время. Одна из делающих это программ - Denyhosts (www.denyhosts. net); другая - Sshutout (www.techfinesse.com/sshutout/sshutout. html). Пакеты Sshutout существуют для большинства дистрибутивов; установите его и отредактируйте файл /etc/sshutout.conf в соответствии со своими настройками. Для начала можете сменить только местоположение журнала, оставив остальные параметры в покое. После настройки запуска программы при загрузке системы, повторные попытки регистрации будут автоматически заблокированы.

Ответить

Вернуться в «Безопасность»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 3 гостя