Настроим fail2ban для защиты от подбора пароля к панели управления ISPmanager.
Установим fail2ban:
# yum install fail2ban
Создадим фильтр:
# cd /etc/fail2ban/filter.d/
# vim isp-manager.conf
[Definition]
failregex = <HOST>\s+nobody\s+auth
ignoreregex =
Добавим секцию для фильтра в главный конфиг:
# vim /etc/fail2ban/jail.conf
[isp-manager]
enabled = true
filter = isp-manager
action = iptables-multiport[name=ISP, port="443,1500"]
logpath = /usr/local/ispmgr/var/ispmgr.journal
maxretry = 5
bantime = 10800
Включим в автозагрузку fail2ban
# chkconfig fail2ban on
Запустим сервис:
# service fail2ban start
Формат лога:
# tail -f /usr/local/ispmgr/var/ispmgr.journal
2015-01-17 15:48:22 109.110.89.20 nobody auth username=root&password=*&theme=sirius&lang=ru&func=auth
2015-01-17 15:48:25 109.110.89.20 nobody auth username=root&password=*&theme=sirius&lang=ru&func=auth
2015-01-17 15:48:27 109.110.89.20 nobody auth username=root&password=*&theme=sirius&lang=ru&func=auth
2015-01-17 15:48:28 109.110.89.20 nobody auth username=root&password=*&theme=sirius&lang=ru&func=auth
2015-01-17 15:48:30 109.110.89.20 nobody auth username=root&password=*&theme=sirius&lang=ru&func=auth
2015-01-17 15:48:31 109.110.89.20 nobody auth username=root&password=*&theme=sirius&lang=ru&func=auth
Установим fail2ban:
# yum install fail2ban
Создадим фильтр:
# cd /etc/fail2ban/filter.d/
# vim isp-manager.conf
[Definition]
failregex = <HOST>\s+nobody\s+auth
ignoreregex =
Добавим секцию для фильтра в главный конфиг:
# vim /etc/fail2ban/jail.conf
[isp-manager]
enabled = true
filter = isp-manager
action = iptables-multiport[name=ISP, port="443,1500"]
logpath = /usr/local/ispmgr/var/ispmgr.journal
maxretry = 5
bantime = 10800
Включим в автозагрузку fail2ban
# chkconfig fail2ban on
Запустим сервис:
# service fail2ban start
Формат лога:
# tail -f /usr/local/ispmgr/var/ispmgr.journal
2015-01-17 15:48:22 109.110.89.20 nobody auth username=root&password=*&theme=sirius&lang=ru&func=auth
2015-01-17 15:48:25 109.110.89.20 nobody auth username=root&password=*&theme=sirius&lang=ru&func=auth
2015-01-17 15:48:27 109.110.89.20 nobody auth username=root&password=*&theme=sirius&lang=ru&func=auth
2015-01-17 15:48:28 109.110.89.20 nobody auth username=root&password=*&theme=sirius&lang=ru&func=auth
2015-01-17 15:48:30 109.110.89.20 nobody auth username=root&password=*&theme=sirius&lang=ru&func=auth
2015-01-17 15:48:31 109.110.89.20 nobody auth username=root&password=*&theme=sirius&lang=ru&func=auth
И вот попробовали зайти 5 раз и наш IP-адрес попал в iptables:
Chain fail2ban-ISP (1 references)
pkts bytes target prot opt in out source destination
1 60 REJECT all -- * * 109.110.89.20 0.0.0.0/0 reject-with icmp-port-unreachable
Все работает корректно. Стырено отсюда: http://pegas-studio.net/info/development/Fail2Ban_ISPmanager
Комментариев нет:
Отправить комментарий