Desde mi conocimiento básico, iptablespreparé la siguiente configuración destinada a ejecutar un relé Tor... aquí está después de 6 horas aproximadamente. Tenga en cuenta que no quiero hablar de ninguna operación de Tor, por lo que no se me señalará.https://tor.stackexchange.com/Gracias.
Hubo un gran ataque en el puerto 22, que detecté cuando me desperté, así que lo cambié, la autenticación de contraseña ya estaba deshabilitada, pero la persona/bot intentó ingresar de todos modos, tengo un RSA público de 8192 bits de largo/ clave privada, así que espero que sea suficiente.
# iptables -L -v --line-numbers
salidas:
Chain INPUT (policy DROP 8242 packets, 735K bytes)
num pkts bytes target prot opt in out source destination
1 0 0 DROP tcp -- any any anywhere anywhere ctstate NEW tcp flags:!FIN,SYN,RST,ACK/SYN /* protection: non-syn packets */
2 10 452 DROP all -- any any anywhere anywhere ctstate INVALID /* protection: malformed packets */
3 20 1000 ACCEPT all -- lo any anywhere anywhere /* loopback: compulsory */
4 3 98 ACCEPT icmp -- any any anywhere anywhere icmp echo-request limit: avg 2/sec burst 5 /* ICMP: ping only */
5 16625 9388K ACCEPT all -- any any anywhere anywhere ctstate RELATED,ESTABLISHED /* traffic */
6 7 420 ACCEPT tcp -- any any anywhere anywhere ctstate NEW,ESTABLISHED tcp dpt:xxyyzz /* SSH: global obfuscated */ <-- CENSORED
7 438 26080 ACCEPT tcp -- any any anywhere anywhere tcp dpt:9001 /* Tor: OR */
8 558 30828 ACCEPT tcp -- any any anywhere anywhere tcp dpt:9030 /* Tor: Dir */
Chain FORWARD (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 16969 packets, 6369K bytes)
num pkts bytes target prot opt in out source destination
Me gustaría implementar fail2ban, pero nunca lo usé, así que encontré variosguíaspara configurarlo, pero creo que deberíamos tener algún ejemplo en este sitio. Encontré demasiados resultados solo fail2ban, sin embargo, nada relevante parafail2banconfiguración inicial
Respuesta1
Instalar f2b en deb es bastante sencillo. Había escrito sobre ello en una publicación anterior (https://dev.slickalpha.blog/2019/11/installing-lemp-stack-on-debian-buster.html#sv-fail2ban).
Primero instalas f2b
apt install fail2ban -y
Copiar configuración a local
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
y haga sus ediciones en el archivo local
nano /etc/fail2ban/jail.local
actualizar los valores predeterminados (el puerto 22 está prehabilitado en f2b)
[DEFAULT]
...
# MISCELLANEOUS OPTIONS...
bantime = 86400
findtime = 86400
maxretry = 2`
Reiniciar f2b
/etc/init.d/fail2ban restart
Verificar el estado de sshd 22
fail2ban-client status sshd
Aparte de esto, usar una clave con frase de contraseña debería ser suficiente. Siempre puedes ajustar f2b.
Actualizar:
Fail2ban básicamente verifica los registros de IP, usando filtros de expresiones regulares y bloquea las IP coincidentes usando iptables.
Para enumerar las cárceles habilitadas (filtros de expresiones regulares para un servicio en f2b)
fail2ban-client status
Para defender un puerto o servicio aduanero,
Compruebe si los filtros de expresiones regulares para ese servicio están presentes
ls /etc/fail2ban/filter.d
Si están presentes, digamos jail-name.conf, simplemente habilítelos en el archivo local f2b.
nano /etc/fail2ban/jail.local
Bajo sintaxis
[jail-name]
..options..
digamos que si sshd no estaba habilitado, agréguelo enabled = truea sshd jail
[sshd]
enabled = true
....
Para probar las cárceles con sus registros y actualizar la expresión regular si falta
fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf
Si no existen cárceles para un servicio o puerto, verifique en línea esos filtros, agréguelos /etc/fail2ban/filter.dy habilítelos en el archivo de configuración local.