[CentOS-es] Proteger http con fail2ban
angel jauregui
darkdiabliyo en gmail.com
Mie Oct 2 17:58:02 UTC 2013
Con SSH la manera que reconoces un intento de ataque es cuando existen
FALLOS en el login, y esto repetidas veces.
Dime cual te imaginas seria el ataque en Apache ?.... si lo analizas, en
realidad cualquier consulta puede ser un ataque o bien no serlo. Muchos
podrian decir "la comilla simple", pero que tal si en la web tienen un
producto en ingles que lleva comilla simple ?, entonces caerias en que esa
comilla en ese caso no representa un ataque.
Innvestiga mod_security, es lo mejor..
Fail2ban es recomendable para servicios que requieren una autentificacion
al servicio: ssh, ftp, tftp, smtp, pop, etc...
Saludos !
El 2 de octubre de 2013 12:48, Rodrigo Pichiñual Norin <
rodrigo.pichinual en gmail.com> escribió:
> mmmmm si pero http con fail2ban....??? sabes??
>
>
>
>
>
> El 2 de octubre de 2013 13:43, David González Romero
> <dgrvedado en gmail.com>escribió:
>
> > Rodrigo!!
> >
> > Esta muy bien, pero la mejor protección que puedes hacer para tu SSH es
> > cambiar el puerto de escucha. en el /etc/ssh/sshd_config
> >
> > Port 6541
> >
> > Asi evitas que los boots se pongan a scanear al respecto. Puedes entonces
> > con fail2ban proteger ese puerto. Y luego IPtables, si no puedes cambiar
> tu
> > puerto SSH sería entonces prudente aceptar conecciones SSH desde IP
> > conocidas en tu server.
> >
> > De cualquier forma una de las maneras más fuertes de proteger Apache es
> > mod_security.
> >
> > Saludos,
> > David
> >
> >
> > El 2 de octubre de 2013 13:14, Rodrigo Pichiñual Norin <
> > rodrigo.pichinual en gmail.com> escribió:
> >
> > > Hola a todos.
> > >
> > >
> > > Tengo instalado fail2ban en centos 6.3
> > >
> > > Logre entender como proteger SSH en caso de ataques de fuerza bruta.
> > >
> > >
> > > banntime=600
> > >
> > > [ssh-iptables]
> > > enabled = true
> > > filter = sshd
> > > action = iptables[name=SSH, port=ssh, protocol=tcp]
> > > mail-whois[name=SSH, dest=mimail en dominio.cl,
> > > sender=fail2ban@<fail2ban en latitud33.cl>
> > > dominio.cl]
> > > logpath = /var/log/secure
> > > maxretry = 5
> > >
> > > Esto bloquea a una ip el accesso mediante SSH después de 5 intentos
> > > fallidos (bloque la ip durante 600 seg).
> > >
> > > lo probé y funciona.
> > >
> > > pero ahora quiero proteger mi servidor web (apache httpd).
> > >
> > > pero no se como hacerlo.
> > >
> > > en ssh el maxretry es 5(intentos antes de bloquear) en un servidor web
> > esto
> > > debería ser mucho mas mayor (nro de transacciones de un web server
> > siempre
> > > es mas alto)
> > >
> > >
> > > Orientación..gracias
> > > _______________________________________________
> > > CentOS-es mailing list
> > > CentOS-es en centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
--
M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22
E-Mail: angel.cantu en sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
Más información sobre la lista de distribución CentOS-es