PplWare Mobile

Fail2Ban: Proteja já o seu Raspberry PI

Pedro Pinto

Pedro Pinto é Administrador do site. É licenciado em Engenharia Informática pelo Instituto Politécnico da Guarda (IPG) e obteve o grau de Mestre em Computação Móvel pela mesma Instituição. É administrador de sistemas no Centro de Informática do IPG, docente na área da tecnologia e responsável pela Academia Cisco do IPG.

Destaques PPLWARE

Deixe um comentário

28 Comentários em "Fail2Ban: Proteja já o seu Raspberry PI"

avatar
  Subscreva  
Notify of
joao
Visitante

O fail2ban é essencial para qualquer servidor. Recentemente com o aumento the ataques “brute force” o melhor ainda é bloquear países como china, india, vietnam,etc, usando o framework IPSET

N'uno
Visitante
N'uno

Boa observação! Para além disso, configurar os serviços com um segundo factor de autenticação, ou com chaves simétricas, é igualmente recomendável.

Gekko
Visitante
Gekko

“configurar os serviços com um segundo factor de autenticação”, pode servir para dificultar, mas 2FA, não é infalível.

Já há pessoal a piratear contas que usam segundo factor de autenticação:
http://thehackernews.com/2017/05/ss7-vulnerability-bank-hacking.html

N'uno
Visitante
N'uno

Nada é 100% infalível, é certo, mas ainda existem bons 2FA. O exemplo que referes é específico das OTPs enviadas por SMS, algo a que nunca atribuí grande robustez em termos de segurança. Há soluções muito mais fiáveis, baseadas em hardware específico (tipo yubikeys) ou, em menor grau, em TOTPs (authenticators como o da google, por exemplo).
A utilização de chaves simétricas também é bastante fiável.

Gekko
Visitante
Gekko

Concordo com tudo o que dizes. Excepto com a parte do google. Mas tenho uma posição de principio contra a google e o seu modelo de negocios. Por muito bom que seja o software deles tecnicamente, evito-o sempre que possível.

TOTPs não conheço bem. Chaves digitais existiam muito antes da expressão “2FA”.

N'uno
Visitante
N'uno

O Google authenticator implementa um protocolo de segurança standard, público. O lastpass tem um, a yubico idem, e todos eles são naturalmente compatíveis.

Ricardo
Visitante
Ricardo

A maioria dos ataques serão feitos por bots, mudem a porta de telnet para outra que não a 21, basta pesquisarem no google, é essencial que mudem aliás.

Só aqui já evitam 99% dos ataques, batem na parede.

Podem usar simplesmente o CSF e até países inteiros podem bloquear, facilmente escolhem as portas que usam, e apenas essas. Firewall básica.

N'uno
Visitante
N'uno

Telnet nem numa rede interna! 🙂 Mas a dica do CSF é muito interessante. Obrigado!

Ricardo
Visitante
Ricardo

O que usas para controlar remotamente por linhas de comandos?

O telnet por si só é seguro, mudar a porta torna-o algo completamente diferente porque não está no sitio habitual. Telnet associamos à porta 21 comum, não tem de morar lá para ser telnet.

N'uno
Visitante
N'uno

ssh, com chaves simétricas.

Ricardo
Visitante
Ricardo

Porta SSH também deve ser mudada, eu quando falei telnet falei SSH e todas as que são já comuns a software conhecido e usado.

helloooo
Visitante
helloooo

telnet é na porta 23. A porta 21 é de FTP

Ricardo
Visitante
Ricardo

Certo, seja qual for a porta, SSH, Telnet, devem mudar do número de porta nativo.

Os bots são configurados para bruteforce aquelas portas conhecidas, nem sequer fazem port scan…

Pedro
Visitante
Pedro

Boa tarde
Alguem pode partilhar como podemos ativar os alertas por email em caso de tentiva de acesso SSH falhada ?

N'uno
Visitante
N'uno

A configuração deste artigo já envia alertas por email, mas para isso é necessário que alteres os defaults (na /etc/fail2ban/jail.local, caso a tenhas criado, por exemplo):

[DEFAULT ]
destemail = root@localhost
sendername = Fail2Ban
mta = sendmail

O email deve ser alterado para o que pretendes, o sendername idem, e deves ter o sendmail instalado, caso contrário também deverás alterar para o que tiveres instalado, ou instalar o sendmail.

bruno
Visitante
bruno

Grande Fail2Ban, aproveitei a dica do Pplware, há quase dois anos atrás e hoje coloco em vários clientes, com resultados muito satisfatórios.
Aproveito para deixar a minha experiência, tivemos imensos ataques e acabei bloquear os IPs. Como “ingénuo”, enviei para o ISP / email associado ao IP, indicando o ataque sofrido.
Tive algumas respostas, todas com vírus e/ou pishing, com hyperlinks falsos.
É incrível como tantos hosts da China estão consecutivamente a scanar a rede àprocura de portas abertas para iniciar o ataque de brute force.