potenziali conflitti ufw e fail2ban


45

L'esecuzione di fail2ban e ufw causerà problemi? Ho notato che fail2ban modifica le regole di iptables, ma uww ha già definito un sacco di regole di iptables ... quindi non sono sicuro che fail2ban rovinerà tutto.


Quale versione di Ubuntu ? ('ufw' è leggermente migliorato tra 10.04 LTS e 11.x )
david6

@ david6: scusa, non ricordo quale versione stavo eseguendo quando inizialmente ho posto la domanda.
Adam Monsen,

Risposte:


50

Puoi usare ufw e fail2b insieme, ma come indicato in precedenza, l'ordine delle regole (ufw) è ciò che è importante.

Immediatamente, fail2ban utilizza iptables e inserisce prima le regole nella catena INPUT. Questo non farà alcun danno o conflitto con ufw.

Se desideri integrare completamente fail2ban per usare ufw (piuttosto che iptables). Dovrai modificare un numero di file incluso

/etc/fail2ban/jail.local

jail.local è il punto in cui definisci i tuoi servizi, inclusa la porta su cui stanno ascoltando (pensa di cambiare ssh in una porta non predefinita) e quali azioni intraprendere.

** Nota *: non modificare mai jail.conf , è necessario apportare le modifiche jail.local! Quel file inizia con questo:

# Changes:  in most of the cases you should not modify this
#           file, but provide customizations in jail.local file,
#           or separate .conf files under jail.d/ directory

Usando ssh come esempio, nota anche la definizione di una porta non predefinita =)

[ssh]
enabled = true
banaction = ufw-ssh
port = 2992
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

Quindi si configura fail2ban per utilizzare ufw in (un file .conf per ciascun servizio)

/etc/fail2ban/action.d/ufw-ssh.conf

La sintassi è

[Definition]
actionstart =
actionstop =
actioncheck =
actionban = ufw insert 1 deny from <ip> to any app OpenSSH
actionunban = ufw delete deny from <ip> to any app OpenSSH

Nota: Configura fail2ban per usare ufw e per inserire PRIMA nuove regole usando la sintassi "insert 1". L'eliminazione troverà la regola indipendentemente dall'ordine.

C'è un bel post sul blog che approfondisce qui

http://blog.vigilcode.com/2011/05/ufw-with-fail2ban-quick-secure-setup-part-ii/

[EDIT] Per Ubuntu 16.04+

di default un " defaults-debian.conf" /etc/fail2ban/jail.dcon contenuto

[sshd]
enabled = true

attiverà la protezione ssh di fail2ban.

Devi metterlo a falso.

Quindi crea un jail.local come faresti in generale, il mio sarebbe così:

[ssh-with-ufw] 
enabled = true 
port = 22 
filter = sshd 
action = ufw[application="OpenSSH", blocktype=reject] 
logpath = /var/log/auth.log 
maxretry = 3

C'è già un ufw.conf nell'installazione predefinita fail2ban quindi non è necessario crearne uno.

L'unica modifica specifica per te jail.local sarebbe nella linea di azione in cui è necessario inserire l'applicazione in questione per la protezione e ciò che si desidera ottenere come risultato.

tendono a rilevare automaticamente una determinata quantità di app in esecuzione tramite la rete. Per avere l'elenco basta digitare sudo ufw app list. Fa distinzione tra maiuscole e minuscole.

ricaricare fail2ban e non vedrai più la catena fail2ban e se un IP ottiene un blocco, lo vedrai in sudo ufw status


7
Quindi in breve: senza fare l'integrazione come spiegato, sia ufw che fail2ban funzionano come dovrebbero. Fail2ban inserirà le sue definizioni di blocco prima dell'applicazione delle regole di ufw. D'altra parte, se si desidera che i blocchi vengano visualizzati ufw status, è necessaria l'integrazione. Oltre a far apparire i blocchi ufw status, non ci sarebbero altri vantaggi? Soprattutto perché l'autore del blog dice quanto segue: Out of the box Fail2ban funziona con le regole di iptables, tuttavia queste non funzionano bene con i nostri comandi UFW più semplici (...)
bouke

1
Esattamente. "Non giocare bene" equivale a non mostrarti quando li controlli con lo stato ufw. I vantaggi dell'integrazione sono l'utilizzo di uno strumento, uww, per gestire e visualizzare le regole del firewall. Niente di sbagliato nell'utilizzo di fail2ban come è, pronto all'uso, in termini di funzione. Il problema sarebbe che per vedere le regole fail2ban avresti bisogno di usare iptables -L -v -n, e come puoi già vedere, quando usi ufw l'output è lungo e difficile da seguire. Il vantaggio dell'integrazione è che le regole e la sintassi sono quindi più facili da capire (supponendo che sia per questo che usi ufw in primo luogo)
Panther

Per la cronaca, se fai clic in un punto qualsiasi del sito collegato, verrai reindirizzato a malware / adware.
Antonio Cangiano,

@AntonioCangiano - Il collegamento funziona bene qui, controlla il tuo browser e DNS
Panther

@ bodhi.zazen Qualsiasi clic sull'articolo collegato verrà reindirizzato a un sito Web non autorizzato, come correttamente sottolineato da Antonio. Sono riluttante a prendere consigli sulla sicurezza da tale articolo.
Goran Miskovic,

4

Uso fail2ban e uww da anni su un paio di computer diversi e non ho mai avuto problemi. Per installare fail2ban:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano jail.local

Ora modifica il file come desideri, ad esempio se vuoi bloccare ssh non autorizzati trova le righe:

[ssh]
enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 6

se "abilitato" è impostato su "falso", cambiarlo in "vero" come indicato qui. Dopo aver impostato le regole è necessario riavviare il processo fail2ban:

sudo /etc/init.d/fail2ban restart

Se hai aperto la porta 22 sul tuo ufw firewall fail2ban vieterà i client che tentano di connettersi più di 6 volte senza successo, non romperà il tuo firewall.


4

L'installazione di 0.9.5 di fail2ban includeva ufwun'azione che dovevo semplicemente impostare perbanaction


2
Per la cronaca, l'azione è presente anche nella versione 0.8.13
Joril
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.