Установка Fail2ban

fail2ban-client status

Вот что получилось:

root@ns301713:~# fail2ban-client status

/usr/bin/python: /usr/local/lib/libz.so.1: no version information available (required by /usr/bin/python)

Status

|- Number of jail: 14

`- Jail list: apache-noscript, pam-generic, xinetd-fail, ssh-ddos, apache-multiport, vsftpd, couriersmtp, wuftpd, ssh, postfix, sasl, apache, courierauth, proftpd

root@ns301713:~#

Здравствуйте,

Я так понимаю Вы хотите скрестить директадмин и fail2ban. Рекомендую использовать мониторинг брутфорса который идет в самой панели. Для блокировки IP адресов создаете файлик

/usr/local/directadmin/scripts/custom/brute_force_notice_ip.sh

следующего содержания:

блокиратор /usr/local/directadmin/scripts/custom/block_ip.sh

и разблокиратор /usr/local/directadmin/scripts/custom/unblock_ip.sh

и fail2ban тут уже не нужен. Для директадмина есть еще замечательный плагин CSF для настройки файрволла на сервере. Что бы не тошнило на почту письмами в directadmin.conf добавляем

Огромное Вам спасибо!

Я так понял нужно создать 3 файла:

brute_force_notice_ip.sh

block_ip.sh

unblock_ip.sh

После этого брут форс атаки прекратятся?

Еще вопрос, куда прописать IP моего компа, чтобы не блокировал?

P.S. У меня стоит ConfigServer Firewall&Security и я каждый IP блокирую вручную через

Block IP address in the firewall and add to the deny file (csf.deny).

А что есть автоматическая блокировка?

Да, создаете вышеуказанные файлы и включаете мониторинг логов в настройках DA.

Notify Admins after an IP has = 20

Notify Admins after a User has = 20

Reset count of IP/User failed attempts = 24

Clear failed login attempts from log = 1

Будет блокировать при вводе > 20 неверных логинов/паролей к любым сервисам.

Напишите, пожалуйста, подробней, как включить мониторинг логов в настройках DA.

Это делается в командной строке или в директадмин?

1. Стоит отказаться от использования дырки в виде FTP и перейти на SFTP.

2. В Fail2Ban по-умолчанию включена защита только SSH.

Admin Level -> Administrator Settings

Parse service logs for brute force attacks

остальные параметры там же.

Отказывайтесь от ftp, юзайте sftp, или смените стандартный 21 порт на что-нибудь другое, типа 10121

смените ssh порт с 22 на также что-нибудь не стандартное.

и никто вас не будет брутфорсить.

Рекомендация конечно толковая, но судя по уровню знаний ТС его самого отстрелит CSF через полчаса работы с сервером :D Но штука мощная , спору нет. !

---------- Добавлено 11.09.2013 в 22:58 ----------

Смена порта сама по себе ничего не даст, его просканят и будут брутить по любому порту, хоть 5555. Но если в совокупности с вашим советом что-то от скана использовать тогда может помочь.

Скажу честно, на всех серверах на SSH разные порты, стоит CSF.... Сканы ловит, но бруты бывают !!! Или кто-то из клиентов сливает, или скан происходит в несколько очередей с разных ИП по разным диапазонам.... стало быть через 2 дня сканов и 1000 забаненных ИП зловреды все таки узнают порт SSH ;) Ну а менять его раз в неделю тоже не айс :D

Если сервер приватный - т.е входить должны только вы, рекомендую FTP И SSH зарезать вообще по IP. Т.е разрешать только нужные (свои) ИП, остальные вообще в лес....