Fail2ban para bloquear conexiones SSH no autorizadas =Ubuntu Server

Buenas tardes, he notado que a mi server le llueven intentos de conexion ssh no autorizados como pueden ver en la siguiente figura:

Archivo /var/log/ auth.log

Lectura de la bitácora de accesos de ubuntu server

Decidí instalarle Fail2ban para banear la ip maldosa que está intentando accesar a mi server y al mismo tiempo que me mande mi server una alerta a mi correo. El server que poseo está en ubuntu server 10.04 LTS, vamos a instalar fail2ban para banear y postfix como agente de correo para que me notifique de las ips baneadas.

escribimos en consola: sudo apt-get install fail2ban //Dejamos que haga el proceso de instalación

ahora escribimos sudo apt-get install postfix //Dejamos que instale postfix

****** CONFIGURANDO POSTFIX

Bueno, en esta parte yo utilizaré mi cuenta de gmail para la configuracion de postfix, les dejo un script para que lo corran en su servidor que alguien mas escribió que nos facilita la configuración de postfix que nos pide los datos de nuestra cuenta de gmail y crea los certificados para que funcione el transporte de correo.

Antes de correr el script cámbiale los permisos (chmod 600) a los archivos generic (ubicado en /etc/postfix) y a sasl_passwd (aqui se guarda tu mail y password).

Para probar que este funcionando nuestro postfix escribimos en consola: mail -s “probando” alguncorreo@midominio.com

y checamos la cuenta de correo.

**************** CONFIGURANDO FAIL2BAN

Una vez teniendo en buen funcionamiento Postfix seguimos con la configuracion de Fail2ban, para ello editamos el archivo /etc/fail2ban/jail.conf

nos posicionamos hasta el final y creamos una nueva carcel pegando el siguiente código:

[SSH-iptables]

enabled = true
filter = sshd

action = iptables-allports[name=SSH, protocol=tcp, port=22]
sendmail-whois[name=SSH, dest=micorreo@gmail.com, sender=fail2ban@example.org]
logpath = /var/log/auth.log
maxretry = 3
bantime = 10800

grabamos los cambios y reiniciamos el servicio fail2ban

restart

Hecho esto probamos desde alguna ip de la lan u externa tratando de entrar via ssh y fallando en la autenticacion para que nos banee.

mail

si queremos revisar el log de fail2ban: nano /etc/fail2ban/fail2ban.log

logfail2ban

Saludos!!

Acerca de Gerardo Jacinto Astudillo

Interesado en el mundo de las tecnologias de informacion y telecomunicaciones. Vivo en constante aprendizaje. Mis pasatiempos: La música y convivencia familiar. Mi familia es lo mas importante!
Esta entrada fue publicada en Linux y etiquetada , , . Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s