Tareas #4459

Denyhost no está mantenido

Added by Daniel Viñar Ulriksen almost 5 years ago. Updated almost 4 years ago.

Status:CerradaStart date:05/28/2015
Priority:NormalDue date:
Assignee:Daniel Viñar Ulriksen% Done:

50%

Category:-Spent time:2.30 hours
Target version:-

Description

Denyhost,, que nos sirve mucho para parar los ataques por fuerza bruta en ssh, ya no está mantenido y desaparece de la Debian Jessie (y sus derivadas)

Tenemos que encontrar un substituto, por ejemplo fail2ban


Related issues

Related to Plataforma de servidores - Tareas #5414: Definir un procedimiento para aplicar Fail2ban en servido... Nueva 09/08/2016

History

#1 Updated by Andrés Pías over 4 years ago

  • Assignee changed from Cielito - becarios to Danilo da Rosa

Te parece Danilo tomar esta tarea?

#2 Updated by Danilo da Rosa over 4 years ago

  • Assignee changed from Danilo da Rosa to Andrés Pías

fail2ban parece ser la mejor alternativa. Además de que está actualizado, es mas completo que denyhosts porque incluye soporte para otros servicios: sshd, apache, qmail, proftpd, sasl, asterisk, etc.

Consta de dos partes:
1) fail2ban-server: demonio multi-thread que abre un socket y queda a la espera de comandos de un cliente. No debe ser ejecutado directamente a no ser para debugging.

2) fail2ban-client: es el frontend de fail2ban. Se conecta al servidor y envía comandos para configurar y operar el servidor. Puede leer un archivo de configuración y también se pueden ingresar comandos en linea. Es quien se encarga de arrancar el servidor.

Como se puede ver en http://www.fail2ban.org/wiki/index.php/MANUAL_0_8#Configuration hay varios archivos de configuración, pero el que contiene la configuración general del demonio fail2ban-server es /etc/fail2ban/jail.conf. Ahí se pueden cambiar por ejemplo la dirección de correo a la cual enviar reportes (destemail), el tiempo a rechazar una dirección IP (bantime) y se puede definir una lista blanca de IPs (ignoreip).

La recomendación para hacer cambios en cualquiera de los archivos de configuración es crear un archivo con el mismo nombre pero con extensión .local (ej.: /etc/fail2ban/jail.local) y ahí incluir sólo los parámetros a modificar ya que primero se lee el .conf y luego el .local (que sobreescribe las configuraciones del primero).

Dejo acá un enlace al correo donde el equipo de seguridad de Debian propone dejar de soportar denyhosts debido a la falta de actualización y proponen como sustituto fail2ban: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=732712

Andrés, lo podríamos probar en algún servidor, no?

#3 Updated by Andrés Pías over 4 years ago

  • Status changed from Nueva to En curso
  • Assignee changed from Andrés Pías to Danilo da Rosa
Hola Danilo, si como ya tenés acceso en Freud, podemos irlo probandolo.
Libere bastante espacio en la partición /var quedó en 54%. El mayor problema está en los logs de Apache que llegan a varios GB. Veo que no tienen que ver con el repositorio sino con Sympa. Luego podemos incrementar la partición en 4 GB mas que sobran.
En Freud ya tenemos instalado Denyhosts. Se puede servir como referencia para ver como estaba configurado: /etc/denyhosts.conf
La configuración de denyhosts se resume en la wiki Fortalecer el acceso ssh, la cual vas a tener que modificar para agregar el procedimiento para fail2ban, explicando como instalarlo y configurarlo en cada servidor.
Como vas a ver la configuración propone definir:
  • Un mail al cual le van a llegar todos los avisos de usuarios y hosts en lista negra. La idea es o destinar un mail independiente solo para recibir esa informacion que se consulte a veces o mejor si los datos quedan registrados en el failban-client y se pueden consultar vía web. Luego me comentas si hay que instalar el frontend y el backend en cada servidor o solo instalamos el front-end en un único lugar para brindar ese servicio.
  • Además actualmente luego de 3 accesos fallidos la ip es blacklisteada. Ese es un buen criterio. Por esta misma razón se ha creado un script de desbaneo para salir de lista negra:#2733. Habría que crear un mismo script pero para fail2ban.

Nota: Si queres desinstalado a denyhosts si hace falta.

#4 Updated by Daniel Viñar Ulriksen over 4 years ago

  • Assignee changed from Danilo da Rosa to Daniel Viñar Ulriksen

#5 Updated by Daniel Viñar Ulriksen almost 4 years ago

  • Status changed from En curso to Cerrada
  • % Done changed from 0 to 50

Ahora ponemos fail2ban y en general hemos actualizado los anteriores servidores.

#6 Updated by Andrés Pías over 3 years ago

  • Related to Tareas #5414: Definir un procedimiento para aplicar Fail2ban en servidores Debian added

Also available in: Atom PDF