Назад | Перейти на главную страницу

Совет Fail2ban по запрету IP и HTTP

Недавно я установил fail2ban как способ защитить один из наших веб-серверов от атак SSH и HTTP. На данный момент я получаю много ssh-атак, но fail2ban их запрещает, а затем разблокирует. Это способ навсегда запретить эти IP-адреса из-за уровня атак.

Также в fail2ban, как разрешить HTTP-запросы с определенного IP-адреса, чтобы они не были заблокированы, поскольку наши разработчики будут делать много странных запросов в папке / var / www / dev, которые покажут, что файл не существует, и т. Д.

Все советы приветствуются ура

Вы можете добавить IP / сеть в белый список fail2ban, чтобы добиться именно этого (я имею в виду вторую часть). Отредактируйте ignoreip параметр на вашем jail.conf (вероятно на /etc/fail2ban).

Что касается первой части, я видел это обходное решение, упомянутое в вики по fail2ban:

http://whyscream.net/wiki/index.php/Fail2ban_monitoring_Fail2ban

Я думаю, вам нужно будет использовать комбинацию fail2ban (для временных запретов) и denyhosts (для постоянных запретов).

Я бы посоветовал быть очень осторожным с постоянными запретами, это может иметь неожиданные неприятные последствия (например, действительные запросы и попытки взлома, исходящие с одного и того же общедоступного IP-адреса, поскольку реальный источник находится за маскирующим брандмауэром, например, университетская сеть). Вероятно, лучше поэкспериментировать с настройками тюрьмы для конкретных попыток взлома в fail2ban, пока вы не достигнете хорошего компромисса.

Я использую denyhosts

По умолчанию запреты не снимаются.

Вы можете иметь исключения в /etc/hosts.allow