Do meu conhecimento básico, iptablesmontei a configuração abaixo destinada a executar um relé Tor... aqui está depois de aproximadamente 6 horas. Observe que não quero discutir nenhuma operação do Tor e, portanto, não serei apontado parahttps://tor.stackexchange.com/Obrigado.
Houve um grande ataque na porta 22, que percebi quando acordei, então mudei, a autenticação de senha já estava desabilitada, mas a pessoa/bot tentou invadir de qualquer maneira, tenho um RSA público/de 8192 bits. chave privada, então espero que seja suficiente.
# iptables -L -v --line-numbers
saídas:
Chain INPUT (policy DROP 8242 packets, 735K bytes)
num pkts bytes target prot opt in out source destination
1 0 0 DROP tcp -- any any anywhere anywhere ctstate NEW tcp flags:!FIN,SYN,RST,ACK/SYN /* protection: non-syn packets */
2 10 452 DROP all -- any any anywhere anywhere ctstate INVALID /* protection: malformed packets */
3 20 1000 ACCEPT all -- lo any anywhere anywhere /* loopback: compulsory */
4 3 98 ACCEPT icmp -- any any anywhere anywhere icmp echo-request limit: avg 2/sec burst 5 /* ICMP: ping only */
5 16625 9388K ACCEPT all -- any any anywhere anywhere ctstate RELATED,ESTABLISHED /* traffic */
6 7 420 ACCEPT tcp -- any any anywhere anywhere ctstate NEW,ESTABLISHED tcp dpt:xxyyzz /* SSH: global obfuscated */ <-- CENSORED
7 438 26080 ACCEPT tcp -- any any anywhere anywhere tcp dpt:9001 /* Tor: OR */
8 558 30828 ACCEPT tcp -- any any anywhere anywhere tcp dpt:9030 /* Tor: Dir */
Chain FORWARD (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 16969 packets, 6369K bytes)
num pkts bytes target prot opt in out source destination
Gostaria de implantar fail2ban, mas nunca usei, então encontrei váriosguiaspara configurá-lo, mas acredito que deveríamos ter algum exemplo neste site, encontrei muitos resultados sozinho fail2ban, porém nada relevante parafail2banconfiguração inicial
Responder1
Instalar o f2b no deb é bastante simples. Eu já tinha escrito sobre isso em um post antes (https://dev.slickalpha.blog/2019/11/installing-lemp-stack-on-debian-buster.html#sv-fail2ban).
Primeiro você instala o f2b
apt install fail2ban -y
Copiar configuração para local
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
e faça suas edições no arquivo local
nano /etc/fail2ban/jail.local
atualizar valores padrão (a porta 22 está pré-habilitada em f2b)
[DEFAULT]
...
# MISCELLANEOUS OPTIONS...
bantime = 86400
findtime = 86400
maxretry = 2`
Reinicie f2b
/etc/init.d/fail2ban restart
Verifique o status do sshd 22
fail2ban-client status sshd
Além disso, usar chave com senha deve ser suficiente. Você sempre pode ajustar o f2b.
Atualizar:
Fail2ban basicamente verifica logs de IPs, usando filtros regex e bloqueia IPs correspondentes usando iptables.
Para listar as jails habilitadas (filtros regex para um serviço em f2b)
fail2ban-client status
Para defender uma porta ou serviço personalizado,
Verifique se os filtros regex para esse serviço estão presentes
ls /etc/fail2ban/filter.d
Se eles estiverem presentes, digamos jail-name.conf, basta ativá-los no arquivo local f2b
nano /etc/fail2ban/jail.local
Sob sintaxe
[jail-name]
..options..
digamos que se o sshd não estava habilitado, adicione enabled = trueao sshd jail
[sshd]
enabled = true
....
Para testar as prisões em seus logs e atualizar o regex se estiver faltando
fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf
Se não existirem jails para um serviço ou porta, verifique on-line esses filtros, adicione-os /etc/fail2ban/filter.de ative-os no arquivo de configuração local.