faill2ban Seguridad Linux

Trucos, configuraciones y aplicaciones concretas usando Fail2ban

Archivo de configuración /etc/fail2ban/jail.local en Debian

 


 

 

Como solucionar el problema de que no funcione el ban tras varios intentos fallidos de autenticación SASL en Debian

 


Existe un problema con la expresión regular que aparece en el fichero /etc/fail2ban/filter.d/sasl.conf que hace match con las líneas que quedan registradas en el fichero /var/log/mail.log tras cada intento fallido. La solución al problema es cambiar dicha expresión regular:

 

 

Como desbanear una IP

 


Para ver que IP's están baneadas, podemos ejecutar el siguiente comando y fijarnos en la cadena fail2ban-$servicio que nos interese.

En este caso, si quisieramos desbanear la IP 91.21.81.xxx del servicio ssh, ejecutaríamos el siguiente comando:

 

 

Como bloquear los intentos de acceso a "w00tw00t.at.ISC.SANS.DFind"

 


 

Sacado de howflow.com/tricks/block_w00tw00t_scan_hosts_with_fail2ban.

  • En caso de tener una versión de fail2ban anterior a la 8.1 hemos de crear el siguiente archivo en /etc/fail2ban/action.d/iptables-allports.conf:

  • Creamos el archivo /etc/fail2ban/filter.d/apache-w00tw00t.conf:

  • Editamos el archivo /etc/fail2ban/jail.local y añadimos una nueva sección de configuración:

  • Tan sólo nos queda reiniciar el servicio, y ya estará funcionando:

 

 

Deja un comentario