Obrona przed namiętnymi nieletnimi. Czyli jak nie wpuścić spamera.

Posta­wi­łem sobie ser­we­rek na Ubuntu.
Takie przy­datne ustroj­stwo. Mam dostęp do swo­ich doku­men­tów, mogę testo­wać różne pro­gramy, udo­stęp­niam krew­nym i zna­jo­mym zdję­cia. Tro­chę boli, że nie mam sta­łego IP, ale cóż. Dyna­miczne adresy też są dla ludzi — więc sko­rzy­sta­łem. A co?

Cią­głe próby wła­mań są moim utra­pie­niem. Nie ma dnia, żeby kilku, może kil­ku­dzie­się­ciu lud­ków nie spró­bo­wało, czy przy­pad­kiem nie da się zalo­go­wać. Kilku szcze­gól­nie upar­tych pró­bo­wało przez wiele godzin stu­kać i szu­kać dostęp­nego konta z naiw­nym hasłem.
Czy mają szansę? Pew­nie nie, bo hasła mam dłu­gie i zakrę­cone. Ale logi puchną i łącze się zapy­cha. Cza­sem mnie dreszcz prze­szywa, co by szło przez mój biedny ser­wer, gdyby im się udało. Namiętne nasto­let­nie, powięk­sza­nie penisa .… brrr

Jakiś szcze­gól­nie uparty mato­łek pró­bo­wał z upo­rem god­nym lep­szej sprawy przez kilka godzin zła­mać hasło konta Admi­ni­stra­tor. Ups, prze­cież wystar­czy pro­ste pyta­nie przez
nmap –A domena.pl
żeby spraw­dzić, co sie­dzi na dru­gim końcu kabla. W uni­xach konto Admi­ni­stra­tor raczej nie wystę­puje. Przy­naj­mniej ostat­nio

Poszu­ka­łem więc jakie­goś miłego i w miarę pro­stego w uży­ciu narzę­dzia, które zabez­pie­czy mnie przed takimi natrę­tami. Ipta­bles jest fajne, ale wymaga, żeby zaj­rzeć do logu, zna­leźć wła­my­wa­cza i wpi­sać go do /etc/hosts.deny lub stwo­rzyć odpo­wied­nią regułę. Ale to trzeba by sie­dzieć dniami i nocami i czu­wać. A ja nie mam ochoty tra­cić czasu na głupoty.

Zna­la­złem cie­kawe narzę­dzie fail2ban . Cho­dzi w tle, ska­nuje co jakiś czas logi i jak znaj­dzie podej­rzane próby włamu szyb­ciutko daje bana na IP.
Jak skon­fi­gu­ro­wać to cudo? Bar­dzo pro­sto. Naj­pierw z konta root trzeba zain­sta­lo­wać. Jak zain­sta­lo­wać? To zależy jaki mamy sys­tem, można przez rpm, deb albo skom­pi­lo­wać ze źródeł. Jak kto woli. A potem w kata­logu /etc/fail2ban zna­leźć plik jail.conf . Oczy­wi­ście odpa­lamy
vi jail.conf

i odszu­ku­jemy wpisy (na przykład):

[ssh]
ena­bled = false
port = ssh,sftp
fil­ter = sshd
log­path = /var/log/auth.log
maxre­try = 6

Cóż my mamy w tym wpi­sie? Ano, że ssh nie jest moni­to­ro­wane. No to zmie­niamy enabled=true. Warto jesz­cze dopi­sać na końcu
bantime=3600
Albo jesz­cze inną war­tość mówiącą, przez ile sekund dany numer IP będzie blo­ko­wany. Myślę, że godzina jest wystar­cza­ją­cym okre­sem, po któ­rym wła­my­wacz się znie­chęci. Należy oczy­wi­ście spraw­dzić, czy log z ssh odkłada się tam, gdzie poda­li­śmy. Potem jesz­cze trzeba spraw­dzić, jakie mamy inne usługi, które mamy chro­nić i oczy­wi­ście odblo­ko­wać odpo­wied­nie segmenty.

A na koniec
/etc/init.d/fail2ban restart
Co spo­wo­duje, że nasz plik zosta­nie wczy­tany i zacznie działać.

W poczu­ciu dobrze speł­nio­nego obo­wiązku możemy teraz zaglą­dać do logu
/var/log/fail2ban.log
i patrzeć, jak matołki roz­bi­jają sobie głowy na fire­wallu