Настройка Fail2Ban под Bind9

Допустим Fail2Ban уже установлен, если нет, то смотрите мою статью — Установка и настройка Fail2ban.

По умолчанию Bind9 не пишет логи, поэтому откроем его файл конфигурации в любом текстовом редакторе:

sudo nano /etc/bind/named.conf

И добавим:

logging {
    channel security_file {
        file "/var/log/named/security.log" versions 3 size 30m;
        severity dynamic;
        print-time yes;
    };
    category security {
        security_file;
    };
};

Читать далее Настройка Fail2Ban под Bind9

Настройка Fail2Ban под ProFTPd

Допустим Fail2Ban уже установлен, если нет, то смотрите мою статью — Установка и настройка Fail2ban.

В Fail2Ban по умолчанию уже есть фильтры для ProFTPd и он знает что файл логов находится по адресу /var/log/proftpd/proftpd.log, поэтому достаточно создать файл:

sudo nano /etc/fail2ban/jail.d/proftpd.local

И внести данные ниже, тем самым активировав проверку лог файла /var/log/proftpd/proftpd.log:

[proftpd]
enabled = true
bantime = 86400

Перезапустим Fail2Ban чтобы применить изменения:

sudo service fail2ban restart

Можно проверить статус:

sudo fail2ban-client status proftpd

Настройка Fail2Ban под Asterisk

На тесте буду использовать Asterisk 13.1.0 и Fail2Ban 0.9.3-1 установленные в Ubuntu Server 16.04.1 LTS.

Установим Fail2Ban как я писал в этой статье — Установка и настройка Fail2ban

Откроем конфигурационный файл Asterisk отвечающий за логирование событий в /var/log/asterisk/messages:

sudo nano /etc/asterisk/logger.conf

Добавим security в messages:

messages => notice,warning,error,security

Перезапустим систему логирования asterisk:

sudo asterisk -rvv
logger reload
quit

Добавим файл настроек Asterisk в директорию с конфигурацией Fail2Ban тем самым активировав наблюдение его логов:

sudo nano /etc/fail2ban/jail.d/asterisk.conf

где 86400 в секундах = 24 часа, то есть злоумышленник будет блокироваться на сутки.

[asterisk]
enabled = true
bantime = 86400

Либо изменим в файле /etc/fail2ban/jail.conf где [asterisk-tcp] и [asterisk-udp] параметр false на true.

Перезапустим fail2ban чтобы новый файл настроек загрузился:

sudo fail2ban-client reload

Проверим работу:

sudo fail2ban-client status asterisk

Все, теперь Fail2Ban будет блокировать IP-адреса с которых не верно вводятся пароли к аккаунтам Asterisk.

Установка и настройка Fail2ban

Команда установки Fail2ban в Ubuntu:

sudo apt-get install fail2ban

После установки настраиваем конфигурационные файлы которые находятся по адресу:
/etc/fail2ban/fail2ban.conf (основной)
/etc/fail2ban/jail.conf (настройки защиты конкретных сервисов)
/etc/fail2ban/jail.local (дополнительный файл с более высоким приоритетом для настройки защиты конкретных сервисов)
Защита SSH по умолчанию после установки включена.
В конфигурации присутствует уже много готовых настроек, например для apache2, nginx, named, pure-ftpd, proftpd, postfix и т.д., которые можно активировать указав «true» вместо «false».

Сразу можно указать IP которые нельзя блокировать, например локальные свои сети:

ignoreip = 127.0.0.1/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16

Фильтры по которым определяется неудачная попытка ввода пароля и другие не желаемые действия находятся в директории /etc/fail2ban/filter.d и включаются естественно в файле конфигурации /etc/fail2ban/jail.conf и /etc/fail2ban/jail.local. А правила реагирования находятся в /etc/fail2ban/action.d.
Логи стандартно пишутся в /var/log/fail2ban.log

Просмотр правил в iptables:

sudo iptables -S | grep fail2ban

Просмотр статуса:

sudo fail2ban-client status

Для перезапуска fail2ban нужно набрать:

sudo service fail2ban restart

Смотрите также:
Настройка Fail2Ban под ProFTPd
Настройка Fail2Ban под Asterisk
Настройка Fail2Ban под Bind9