суббота, 17 января 2015 г.

Установка fail2ban для защиты от подбора пароля к ISPmanager

Настроим fail2ban для защиты от подбора пароля к панели управления ISPmanager.

Установим fail2ban:
# yum install fail2ban

Создадим фильтр:
# cd /etc/fail2ban/filter.d/
# vim isp-manager.conf
[Definition]
failregex = <HOST>\s+nobody\s+auth
ignoreregex =

Добавим секцию для фильтра в главный конфиг:
# vim /etc/fail2ban/jail.conf
[isp-manager]
enabled = true
filter = isp-manager
action = iptables-multiport[name=ISP, port="443,1500"]
logpath = /usr/local/ispmgr/var/ispmgr.journal
maxretry = 5
bantime = 10800



Включим в автозагрузку fail2ban
# chkconfig fail2ban on

Запустим сервис:
# service fail2ban start

Формат лога:
# tail -f /usr/local/ispmgr/var/ispmgr.journal
2015-01-17 15:48:22 109.110.89.20 nobody auth username=root&password=*&theme=sirius&lang=ru&func=auth
2015-01-17 15:48:25 109.110.89.20 nobody auth username=root&password=*&theme=sirius&lang=ru&func=auth
2015-01-17 15:48:27 109.110.89.20 nobody auth username=root&password=*&theme=sirius&lang=ru&func=auth
2015-01-17 15:48:28 109.110.89.20 nobody auth username=root&password=*&theme=sirius&lang=ru&func=auth
2015-01-17 15:48:30 109.110.89.20 nobody auth username=root&password=*&theme=sirius&lang=ru&func=auth
2015-01-17 15:48:31 109.110.89.20 nobody auth username=root&password=*&theme=sirius&lang=ru&func=auth

И вот попробовали зайти 5 раз и наш IP-адрес попал в iptables:
Chain fail2ban-ISP (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    1    60 REJECT     all  --  *      *       109.110.89.20        0.0.0.0/0           reject-with icmp-port-unreachable 

Все работает корректно. Стырено отсюда: http://pegas-studio.net/info/development/Fail2Ban_ISPmanager

Комментариев нет:

Отправить комментарий