[AsteriskBrasil] fail2ban ssh
Udson Assis
contato em maisvoipshop.com.br
Quarta Dezembro 5 11:56:06 BRST 2012
Jony e Roger,
Juntando as dicas do Jony com as do Roger, Resolvido o problema:
A solução:
Substituir syslog, por rsyslog
e
nas configurações do fail2ban em jail.conf eu não estava colocando a porta
do ssh que estou utilizando, estava deixando padrao.
Depois de fazer estas duas alterações tudo ok, funcionando redondo.
Obrigado a todos!
2012/12/5 Jony do Vale <jonydovale.jh em gmail.com>
> Udson, estou testando o sshd.conf. Acho que está 'desatualizado'. Estou
> verificando a forma que está disposta o regex.
>
> Mas para adiantar, faz uma alteração no jail.conf
>
> Defina a porta que está vc está usando para SSH no servidor no parametro
> "port". No meu caso 5669.
>
> [ssh-iptables]
>
> enabled = true
> filter = sshd
> action = iptables[name=SSH, port=5669, protocol=tcp]
>
> sendmail-whois[name=SSH, dest=root, sender=fail2ban em example.com
> ]
> logpath = /var/log/secure
> maxretry = 5
>
>
> Após isso reinicie o fail2ban.
>
>
>
> *Jony do Vale*
> +55 85 97489412
> GTalk:jonydovale.jh em gmail.com
> MSN: jonydovale em hotmail.com
>
>
>
> On 4 December 2012 16:41, Udson Assis <contato em maisvoipshop.com.br> wrote:
>
>> Jony,
>>
>> Segue iformações abaixo:
>>
>> Obs: substitui o syslog pelo rsyslog, apos substitiur, quando faços as 6
>> tentativas com erro o iptables diz ter bloqueado, conforma abaixo, mais na
>> real nao bloqueou, consigo logar normalmente.
>>
>> [root em server-asterisk /]# iptables -L
>> Chain INPUT (policy ACCEPT)
>> target prot opt source destination
>> fail2ban-SSH tcp -- anywhere anywhere tcp
>> dpt:ssh
>> fail2ban-ASTERISK all -- anywhere anywhere
>>
>> Chain FORWARD (policy ACCEPT)
>> target prot opt source destination
>>
>> Chain OUTPUT (policy ACCEPT)
>> target prot opt source destination
>>
>> Chain fail2ban-ASTERISK (1 references)
>> target prot opt source destination
>> RETURN all -- anywhere anywhere
>>
>> Chain fail2ban-SSH (1 references)
>> target prot opt source destination
>> DROP all -- 189-107-139-80.user.veloxzone.com.br anywhere
>> RETURN all -- anywhere anywhere
>>
>>
>> sshd.conf
>>
>> ##----------------------------------------------------------------
>>
>> # Fail2Ban configuration file
>> #
>> # Author: Cyril Jaquier
>> #
>> # $Revision: 728 $
>> #
>>
>> [INCLUDES]
>>
>> # Read common prefixes. If any customizations available -- read them from
>> # common.local
>> before = common.conf
>>
>>
>> [Definition]
>>
>> _daemon = sshd
>>
>> # Option: failregex
>> # Notes.: regex to match the password failures messages in the logfile.
>> The
>> # host must be matched by a group named "host". The tag "<HOST>"
>> can
>> # be used for standard IP/hostname matching and is only an alias
>> for
>> # (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
>> # Values: TEXT
>> #
>> failregex = ^%(__prefix_line)s(?:error: PAM: )?Authentication failure for
>> .* from <HOST>\s*$
>> ^%(__prefix_line)s(?:error: PAM: )?User not known to the
>> underlying authentication module for .* from <HOST>\s*$
>> ^%(__prefix_line)sFailed (?:password|publickey) for .* from
>> <HOST>(?: port \d*)?(?: ssh\d*)?$
>> ^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>\s*$
>> ^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from
>> <HOST>\s*$
>> ^%(__prefix_line)sUser \S+ from <HOST> not allowed because
>> not listed in AllowUsers$
>> ^%(__prefix_line)sauthentication failure; logname=\S* uid=\S*
>> euid=\S* tty=\S* ruser=\S* rhost=<HOST>(?:\s+user=.*)?\s*$
>> ^%(__prefix_line)srefused connect from \S+ \(<HOST>\)\s*$
>> ^%(__prefix_line)sAddress <HOST> .* POSSIBLE BREAK-IN
>> ATTEMPT!*\s*$
>> ^%(__prefix_line)sUser \S+ from <HOST> not allowed because
>> none of user's groups are listed in AllowGroups$
>>
>> # Option: ignoreregex
>> # Notes.: regex to ignore. If this regex matches, the line is ignored.
>> # Values: TEXT
>> #
>> ignoreregex =
>>
>>
>> jail.conf
>>
>> ###-----------------------
>>
>>
>> [ssh-iptables]
>>
>> enabled = true
>> filter = sshd
>> action = iptables[name=SSH, port=ssh, protocol=tcp]
>> sendmail-whois[name=SSH, dest=root, sender=
>> fail2ban em example.com]
>> logpath = /var/log/secure
>> maxretry = 5
>>
>>
>>
>>
>>
>>
>>
>>
>> Em 4 de dezembro de 2012 17:27, Jony do Vale <jonydovale.jh em gmail.com>escreveu:
>>
>> Udson,
>>>
>>> Desculpa pedir as informações aos poucos, mas por favor enviar
>>>
>>> - /etc/fail2ban/filter.d/ssh.conf
>>>
>>> - /etc/fail2ban/jail.conf
>>>
>>> - saida da CLI durante a tentativa de invasâo
>>>
>>> *Jony do Vale*
>>> +55 85 97489412
>>> GTalk:jonydovale.jh em gmail.com
>>> MSN: jonydovale em hotmail.com
>>>
>>>
>>>
>>> On 4 December 2012 15:16, Udson Assis <contato em maisvoipshop.com.br>wrote:
>>>
>>>> Roger,
>>>>
>>>> Fiz o indicado, parei o syslog, mais estou com problemas para startar o
>>>> rsyslog:
>>>>
>>>>
>>>> [root em server-asterisk ~]# /etc/init.d/rsyslog start
>>>> Iniciando o registrador do sistema: usage: rsyslogd [-c<version>]
>>>> [-46AdnqQvwx] [-l<hostlist>] [-s<domainlist>]
>>>> [-f<conffile>] [-i<pidfile>] [-N<level>] [-M<module
>>>> load path>]
>>>> [-u<number>]
>>>> To run rsyslogd in native mode, use "rsyslogd -c3 <other options>"
>>>>
>>>> For further information see http://www.rsyslog.com/doc
>>>> [FALHOU]
>>>>
>>>>
>>>>
>>>>
>>>> Em 4 de dezembro de 2012 15:53, Roger Pitigliani <rogerwinter em gmail.com
>>>> > escreveu:
>>>>
>>>>> /etc/init.d/rsyslog start
>>>>
>>>>
>>>>
>>>>
>>>> --
>>>> Udson Assis
>>>> Maisvoipshop | BrfoneTelecom
>>>> www.maisvoipshop.com.br -- www.brfonetelecom.com.br
>>>> E-mail: contato em maisvoipshop.com.br
>>>> Skype: atendimentomaisvoipshop
>>>> Msn: contato em maisvoipshop.com.br
>>>> Gtalk: contatomaisvoipshop em gmail.com
>>>> Tel.: (31) 4062-7899
>>>>
>>>>
>>>> _______________________________________________
>>>> KHOMP Inovação: External Board Series
>>>> Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e
>>>> FreeSWITCH.
>>>> Tenha a External Series Experience na sua aplicação. Visite
>>>> www.khomp.com
>>>> _______________________________________________
>>>> DIGIVOICE Fabricante de Placas de Voz e Channel Bank
>>>> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
>>>> Centro Treinamento - Curso de PABX IP - Asterisk - Site
>>>> www.digivoice.com.br
>>>> ________
>>>> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
>>>> mercado.
>>>> email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
>>>> ______________________________________________
>>>> Para remover seu email desta lista, basta enviar um email em branco
>>>> para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>>
>>>
>>>
>>> _______________________________________________
>>> KHOMP Inovação: External Board Series
>>> Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e
>>> FreeSWITCH.
>>> Tenha a External Series Experience na sua aplicação. Visite
>>> www.khomp.com
>>> _______________________________________________
>>> DIGIVOICE Fabricante de Placas de Voz e Channel Bank
>>> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
>>> Centro Treinamento - Curso de PABX IP - Asterisk - Site
>>> www.digivoice.com.br
>>> ________
>>> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
>>> mercado.
>>> email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
>>> ______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>
>>
>>
>> --
>> Udson Assis
>> Maisvoipshop | BrfoneTelecom
>> www.maisvoipshop.com.br -- www.brfonetelecom.com.br
>> E-mail: contato em maisvoipshop.com.br
>> Skype: atendimentomaisvoipshop
>> Msn: contato em maisvoipshop.com.br
>> Gtalk: contatomaisvoipshop em gmail.com
>> Tel.: (31) 4062-7899
>>
>>
>> _______________________________________________
>> KHOMP Inovação: External Board Series
>> Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e
>> FreeSWITCH.
>> Tenha a External Series Experience na sua aplicação. Visite www.khomp.com
>> _______________________________________________
>> DIGIVOICE Fabricante de Placas de Voz e Channel Bank
>> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
>> Centro Treinamento - Curso de PABX IP - Asterisk - Site
>> www.digivoice.com.br
>> ________
>> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
>> mercado.
>> email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
>> ______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>
>
> _______________________________________________
> KHOMP Inovação: External Board Series
> Módulos de 1/2 rack e 1U para todas as interfaces e soluções Asterisk e
> FreeSWITCH.
> Tenha a External Series Experience na sua aplicação. Visite www.khomp.com
> _______________________________________________
> DIGIVOICE Fabricante de Placas de Voz e Channel Bank
> 20 anos de experiência com E1(R2/ISDN), FXS, FXO e GSM
> Centro Treinamento - Curso de PABX IP - Asterisk - Site
> www.digivoice.com.br
> ________
> YEALINK: Telefones IP e VídeoPhones IP com o melhor custo/benefício do
> mercado.
> email: yealink em commlogik.com.br | www.commlogik.com.br | (11) 5503-1011
> ______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
--
Udson Assis
Maisvoipshop | BrfoneTelecom
www.maisvoipshop.com.br -- www.brfonetelecom.com.br
E-mail: contato em maisvoipshop.com.br
Skype: atendimentomaisvoipshop
Msn: contato em maisvoipshop.com.br
Gtalk: contatomaisvoipshop em gmail.com
Tel.: (31) 4062-7899
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20121205/c5422e10/attachment-0001.htm
Mais detalhes sobre a lista de discussão AsteriskBrasil