Protegendo serviços on-line com o Fail2ban
Enviado por Luiz Agostinho (infoΘluizagostinho·com):
“Recentemente notei uma grande quantidade de tentativas de acesso (sem sucesso) ao servidor de e-mail de onde trabalho, mais precisamente no serviço de autenticação para envio de e-mails (SASL). Após verificar que as tentativas vinham de vários endereços diferentes e obviamente perceber que manualmente isso ia dar um trabalho enorme para bloquear, resolvi procurar uma solução para esse problema na Internet. Foi quando encontrei o fail2ban, na verdade já tinha lido algumas coisas sobre ele, mas nunca cheguei a testá-lo. O fail2ban serve para verificar os logs do sistema e identificar as tentativas de acesso aos serviços (SSH, SASL, POP3, IMAP, DNS, Apache, etc…) utilizando o método de brute force, após essa identificação é possível realizar o bloqueio do IP utilizando o iptables ou o TCP wrappers (hosts.deny).” [referência: blog.luizagostinho.com]
• Publicado por Augusto Campos em
2010-05-22
O legal mesmo do fail2ban é que ele coloca automaticamente na “quarentena” (no meu caso, dois erros de login e cria uma nova regra temporária via iptables). Instalei no meu servidor doméstico pela primeira vez a versão 0.3.0, pois a rede é cheia de script-kiddies. Depois de testar um tempo, naquela época, comecei a instalar em todos os servidores que eu entrego.
Estatisticamente, um dos serviços mais “procurados” pelos kiddies é o smtp, e depois o ssh. Por isso sempre saliento que o root não deve ter login direto permitido.