fail2ban: banear los accesos fallidos

La gente tiene muy mala leche. Ya me dirás tú cual puede ser el encanto de meterse en las máquinas de los demás, especialmente cuando los demás es una simple maquineta gnu/linux: mini-debian (cariñosamente MD).

Pues bien, casi diariamente tenemos un grupete de individuos que se dedican a escaneanos los puertos, localizan el ssh y comienza a probar con todos los dicionarios que tiene a su alcance.

Después de una reveladora charla con un compañero, dedujimos que debía de haber algún tipo de demonio que evitase que una IP se “jartase” de lanzar llamadas. Por casualidad, como mejor saben las soluciones me encontre con fail2ban.

Como su propia página indica:

Fail2Ban scans log files like /var/log/pwdfailor /var/log/apache/error_logand bans IP that makes too many password failures. It updates firewall rules to reject the IP address.

¡¡Mano de santo!! Tú estableces el número de intentos, por cuánto tiempo baneas al insurrecto y a descansar por un día.

Tened cuidado ahi fuera.

Actualización [28/12/05]:
Después de meses bloqueando intentos en SSH, he incluido Apache en los servicios que monitoriza fail2ban. La configuración ha sido más sencilla siguiendo el Howto que aparece en la página de documentación de fail2ban.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *