En Fail2Ban, ¿Cómo cambiar el número de puerto SSH?

24

En mi servidor, el puerto ssh no es el estándar 22. He configurado uno diferente. Si configuro fail2ban, ¿podrá detectar ese puerto? ¿Cómo puedo decirle que verifique ese puerto en lugar del puerto 22?

La salida de iptables -L -v -n:

 Chain fail2ban-ssh (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                         
    0     0 DROP       all  --  *      *       119.235.2.158        0.0.0.0/0                                                                                           
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                           

 Chain fail2ban-ssh-ddos (0 references)
 pkts bytes target     prot opt in     out     source               destination

La salida del estado del servicio iptables:

iptables: unrecognized service

Resumen de fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf:

Summary
=======

Addresses found:
[1]
[2]
[3]
    113.59.222.240 (Wed Mar 21 18:24:47 2012)
    113.59.222.240 (Wed Mar 21 18:24:52 2012)
    119.235.14.153 (Wed Mar 21 21:52:53 2012)
    113.59.222.21 (Thu Mar 22 07:50:44 2012)
    176.9.57.203 (Fri Mar 23 19:34:29 2012)
    176.9.57.203 (Fri Mar 23 19:34:42 2012)
    113.59.222.56 (Sat Mar 31 14:23:52 2012)
    113.59.222.56 (Sat Mar 31 14:24:05 2012)
    119.235.14.183 (Mon Apr 02 20:49:13 2012)
    119.235.14.168 (Sat Apr 21 09:58:56 2012)
    119.235.2.158 (Wed Apr 25 13:11:03 2012)
    119.235.2.158 (Wed Apr 25 13:11:40 2012)
    119.235.2.158 (Wed Apr 25 13:11:43 2012)
    119.235.2.158 (Wed Apr 25 13:11:47 2012)
    119.235.2.158 (Wed Apr 25 13:12:49 2012)
    119.235.2.158 (Wed Apr 25 13:12:52 2012)
    119.235.2.158 (Wed Apr 25 13:12:55 2012)
    119.235.2.158 (Wed Apr 25 13:12:58 2012)
    119.235.2.158 (Wed Apr 25 13:13:02 2012)
    119.235.2.158 (Wed Apr 25 13:13:04 2012)
    119.235.2.158 (Wed Apr 25 13:13:25 2012)
    119.235.2.158 (Wed Apr 25 13:19:18 2012)
    119.235.2.158 (Wed Apr 25 13:19:52 2012)
    119.235.2.158 (Wed Apr 25 13:19:55 2012)
    119.235.2.158 (Wed Apr 25 13:19:55 2012)
    119.235.2.158 (Wed Apr 25 13:19:58 2012)
    119.235.2.158 (Wed Apr 25 13:20:02 2012)
    119.235.2.158 (Wed Apr 25 13:20:05 2012)
    119.235.2.158 (Wed Apr 25 13:40:16 2012)
[4]
[5]
    119.235.2.158 (Wed Apr 25 13:11:38 2012)
    119.235.2.158 (Wed Apr 25 13:12:46 2012)
    119.235.2.158 (Wed Apr 25 13:19:49 2012)
[6]
    119.235.2.155 (Wed Mar 21 13:13:30 2012)
    113.59.222.240 (Wed Mar 21 18:24:43 2012)
    119.235.14.153 (Wed Mar 21 21:52:51 2012)
    176.9.57.203 (Fri Mar 23 19:34:26 2012)
    119.235.2.158 (Wed Apr 25 13:19:15 2012)
[7]
[8]
[9]
[10]

Date template hits:
1169837 hit(s): MONTH Day Hour:Minute:Second
0 hit(s): WEEKDAY MONTH Day Hour:Minute:Second Year
0 hit(s): WEEKDAY MONTH Day Hour:Minute:Second
0 hit(s): Year/Month/Day Hour:Minute:Second
0 hit(s): Day/Month/Year Hour:Minute:Second
0 hit(s): Day/Month/Year Hour:Minute:Second
0 hit(s): Day/MONTH/Year:Hour:Minute:Second
0 hit(s): Month/Day/Year:Hour:Minute:Second
0 hit(s): Year-Month-Day Hour:Minute:Second
0 hit(s): Day-MONTH-Year Hour:Minute:Second[.Millisecond]
0 hit(s): Day-Month-Year Hour:Minute:Second
0 hit(s): TAI64N
0 hit(s): Epoch
0 hit(s): ISO 8601
0 hit(s): Hour:Minute:Second
0 hit(s): <Month/Day/Year@Hour:Minute:Second>

Success, the total number of match is 37

However, look at the above section 'Running tests' which could contain important
information.

El jail.conf:

    # Fail2Ban configuration file.
#
# This file was composed for Debian systems from the original one
#  provided now under /usr/share/doc/fail2ban/examples/jail.conf
#  for additional examples.
#
# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
#
# Author: Yaroslav O. Halchenko <[email protected]>
#
# $Revision: 281 $
#

# The DEFAULT allows a global definition of the options. They can be override
# in each jail afterwards.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime  = 14400
maxretry = 3

# "backend" specifies the backend used to get files modification. Available
# options are "gamin", "polling" and "auto".
# yoh: For some reason Debian shipped python-gamin didn't work as expected
#      This issue left ToDo, so polling is default backend for now
backend = polling

#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = root@localhost

#
# ACTIONS
#

# Default banning action (e.g. iptables, iptables-new,
# iptables-multiport, shorewall, etc) It is used to define 
# action_* variables. Can be overriden globally or per 
# section within jail.local file
banaction = iptables-multiport

# email action. Since 0.8.1 upstream fail2ban uses sendmail
# MTA for the mailing. Change mta configuration parameter to mail
# if you want to revert to conventional 'mail'.
mta = sendmail

# Default protocol
protocol = tcp

#
# Action shortcuts. To be used to define action parameter

# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]

# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
              %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s]

# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
               %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s]

# Choose default action.  To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section 
action = %(action_)s

#
# JAILS
#

# Next jails corresponds to the standard configuration in Fail2ban 0.6 which
# was shipped in Debian. Enable any defined here jail by including
#
# [SECTION_NAME] 
# enabled = true

#
# in /etc/fail2ban/jail.local.
#
# Optionally you may override any other parameter (e.g. banaction,
# action, port, logpath, etc) in that section within jail.local

[ssh]

enabled = true
port    = ssh
filter  = sshd
logpath  = /var/log/auth.log
maxretry = 4

# Generic filter for pam. Has to be used with action which bans all ports
# such as iptables-allports, shorewall
[pam-generic]

enabled = false
# pam-generic filter can be customized to monitor specific subset of 'tty's
filter  = pam-generic
# port actually must be irrelevant but lets leave it all for some possible uses
port = all
banaction = iptables-allports
port     = anyport
logpath  = /var/log/auth.log
maxretry = 6

[xinetd-fail]

enabled   = false
filter    = xinetd-fail
port      = all
banaction = iptables-multiport-log
logpath   = /var/log/daemon.log
maxretry  = 2


[ssh-ddos]

enabled = true
port    = ssh
filter  = sshd-ddos
logpath  = /var/log/auth.log
maxretry = 6

#
# HTTP servers
#

[apache]

enabled = false
port    = http,https
filter  = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 6

# default action is now multiport, so apache-multiport jail was left
# for compatibility with previous (<0.7.6-2) releases
[apache-multiport]

enabled   = false
port      = http,https
filter    = apache-auth
logpath   = /var/log/apache*/*error.log
maxretry  = 6

[apache-noscript]

enabled = false
port    = http,https
filter  = apache-noscript
logpath = /var/log/apache*/*error.log
maxretry = 6

[apache-overflows]

enabled = false
port    = http,https
filter  = apache-overflows
logpath = /var/log/apache*/*error.log
maxretry = 2

 [nginx-auth]
 enabled = true
 filter = nginx-auth
 action = iptables-multiport[name=NoAuthFailures, port="http,https"]
 logpath = /var/log/nginx*/*error*.log
 bantime = 600 # 10 minutes
 maxretry = 6

 [nginx-login]
 enabled = true
 filter = nginx-login
 action = iptables-multiport[name=NoLoginFailures, port="http,https"]
 logpath = /var/log/nginx*/*access*.log
 bantime = 600 # 10 minutes
 maxretry = 6

 [nginx-badbots]
 enabled  = true
 filter = apache-badbots
 action = iptables-multiport[name=BadBots, port="http,https"]
 logpath = /var/log/nginx*/*access*.log
 bantime = 86400 # 1 day
 maxretry = 1

 [nginx-noscript]
 enabled = true
 action = iptables-multiport[name=NoScript, port="http,https"]
 filter = nginx-noscript
 logpath = /var/log/nginx*/*access*.log
 maxretry = 6
 bantime  = 86400 # 1 day

 [nginx-proxy]
 enabled = true
 action = iptables-multiport[name=NoProxy, port="http,https"]
 filter = nginx-proxy
 logpath = /var/log/nginx*/*access*.log
 maxretry = 0
 bantime  = 86400 # 1 day


#
# FTP servers
#

[vsftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = vsftpd
logpath  = /var/log/vsftpd.log
# or overwrite it in jails.local to be
# logpath = /var/log/auth.log
# if you want to rely on PAM failed login attempts
# vsftpd's failregex should match both of those formats
maxretry = 6


[proftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = proftpd
logpath  = /var/log/proftpd/proftpd.log
maxretry = 6


[wuftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = wuftpd
logpath  = /var/log/auth.log
maxretry = 6


#
# Mail servers
#

[postfix]

enabled  = false
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log


[couriersmtp]

enabled  = false
port     = smtp,ssmtp
filter   = couriersmtp
logpath  = /var/log/mail.log


#
# Mail servers authenticators: might be used for smtp,ftp,imap servers, so
# all relevant ports get banned
#

[courierauth]

enabled  = false
port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = courierlogin
logpath  = /var/log/mail.log


[sasl]

enabled  = false
port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = sasl
# You might consider monitoring /var/log/warn.log instead
# if you are running postfix. See http://bugs.debian.org/507990
logpath  = /var/log/mail.log


# DNS Servers


# These jails block attacks against named (bind9). By default, logging is off
# with bind9 installation. You will need something like this:
#
# logging {
#     channel security_file {
#         file "/var/log/named/security.log" versions 3 size 30m;
#         severity dynamic;
#         print-time yes;
#     };
#     category security {
#         security_file;
#     };
# };
#
# in your named.conf to provide proper logging

# !!! WARNING !!!
#   Since UDP is connectionless protocol, spoofing of IP and immitation
#   of illegal actions is way too simple.  Thus enabling of this filter
#   might provide an easy way for implementing a DoS against a chosen
#   victim. See
#    http://nion.modprobe.de/blog/archives/690-fail2ban-+-dns-fail.html
#   Please DO NOT USE this jail unless you know what you are doing.
#[named-refused-udp]
#
#enabled  = false
#port     = domain,953
#protocol = udp
#filter   = named-refused
#logpath  = /var/log/named/security.log

[named-refused-tcp]

enabled  = false
port     = domain,953
protocol = tcp
filter   = named-refused
logpath  = /var/log/named/security.log

Acabo de notar un error en fail2ban log:

2012-04-25 14: 57: 29,359 fail2ban.actions.action: ERROR iptables -N fail2ban-ssh-ddos

THpubs
fuente
OS? CentOS / Ubuntu / ...? Salida para/etc/init.d/iptables status
Bart De Vos
@BartDeVos OS Ubuntu 11.04 ... "/etc/init.d/iptables status" = bash: /etc/init.d/iptables: No existe tal archivo o directorio ... Nota: ¡Utilizo APF para administrar iptables!
THpubs
Bueno, probablemente sea tu problema. ¿Qué tal deshabilitar apf, configurar un firewall básico con iptables y ver si el problema persiste?
Bart De Vos
@BartDeVos Ese es el problema ... Estoy en un sistema VPS ... Creo que es openvz ... Entonces, ¡algunos firewalls como UFW no funcionarán aquí!
THpubs
Puedes correr ufw enable?
Bart De Vos

Respuestas:

22

Fail2Ban usa el archivo /etc/fail2ban/jail.localy busca la [ssh]sección, puedes cambiar el puerto allí.

[ssh]
enabled  = true
port     = ssh

Puede cambiar el portvalor a cualquier número entero positivo.

Si no funciona y desea buscar más, eche un vistazo /etc/fail2ban/jail.conf, debería haber algo como:

 logpath = /var/log/auth.log

Eso es lo que fail2ban utiliza para detectar inicios de sesión falsos.

Si no funciona correctamente, puede intentar algunas cosas para identificar el problema. Comience por verificar si está instalado:

dpkg -l |grep fail   

Compruebe si el servicio se está ejecutando:

/etc/init.d/fail2ban status 

Compruebe si su SSH-jail está configurada:

sudo fail2ban-client status  

Verifique el archivo de registro:

fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf

Verifique su fecha / hora:

date && tail -2 /var/log/auth.log

(Primero debe obtener la fecha, seguida de las últimas líneas auth.log. Si aún no puede identificar el error, agregue su archivo de configuración a su publicación.

Bart De Vos
fuente
Parece que no funciona ... ¡No bloquea mis inicios de sesión fallidos!
THpubs
1
Los registros muestran que mi IP está bloqueada ... ¡Pero aún puedo iniciar sesión!
THpubs
¿Cuál es la salida para iptables -L -v -ny / oservice iptables status
Bart De Vos
Agregué
8
Esta respuesta es engañosa. Aunque, fail2ban no se preocupa por el puerto ssh para la detección, solo bloqueará el puerto estándar (es decir, incorrecto) (22) para que el usuario malintencionado pueda continuar conectándose al puerto no estándar. Esta respuesta tiene detalles sobre cómo cambiar el puerto bloqueado.
robado
35

fail2ban detectará intentos de inicio de sesión con contenido de registro. fail2ban no usa puertos para la detección, solo para bloquear.
Para bloquear el puerto correcto, debe indicarle a fail2ban cuál para configurar correctamente iptable.
En /etc/fail2ban/jail.local:

[ssh]
enabled  = true
port     = ssh   <-- just modify this with your port    port = 1234

Otro método es bloquear todo de los hosts infractores. Entonces iptable eliminará todos los paquetes de ellos, no solo los ssh.
Al comienzo de /etc/fail2ban/jail.local:

banaction = iptables-multiport     <-- regular blocking (one or several ports)
banaction = iptables-allports      <-- block everything

Con iptables-allportsusted no tiene que preocuparse por los puertos. Solo deja los predeterminados.

Gregory MOUSSAT
fuente
Genial ... funciona en cierta medida ... Pero acabo de notar un error en el registro fail2ban: "2012-04-25 14: 57: 29,359 fail2ban.actions.action: ERROR iptables -N fail2ban-ssh-ddos" también no me bloqueará si no puedo iniciar sesión ... Me bloqueará solo si lo hago realmente rápido. Si espero hasta que SSH diga que la contraseña es incorrecta, ¡no me bloqueará!
THpubs
2
Me temo que tienes que leer el documento. Fail2ban tiene parámetros para ajustar el número de intentos antes de ser bloqueado.
Gregory MOUSSAT
7

En resumen: si cambió el número de puerto ssh ¡DEBE AGREGARLO EN EL jail.localARCHIVO!

Por ejemplo: (uso SSH, SFTP en el puerto 1234)

en jail.local :

[ssh]

enabled  = true

port     = ssh,sftp,1234

filter   = sshd

logpath  = /var/log/auth.log

maxretry = 6
Anuncio de recuerdo
fuente
Gracias, funcionó como se esperaba, solo necesitaba modificar la ruta de acceso a / var / log / secure
AMB
0

Sé que esto no responde estrictamente a la pregunta, pero de todos modos ...

Como otra forma de resolver el problema, podría considerar mantener los puertos estándar en la configuración de su servidor y luego hacer el NAT en su enrutador.

Por ejemplo, en mi configuración tampoco uso el puerto estándar para ssh desde el exterior, pero la configuración de mi servidor es estándar para ssh (al igual que para ftp, vpn, etc.) Simplemente abro puertos no estándar en el enrutador y haga que se envíen al puerto estándar.

Esta forma de hacerlo me ahorra bastante tiempo al configurar mi configuración.

Vering
fuente
0

Sé que este es un hilo viejo, pero esto es lo que aparece en una búsqueda en Google de este tema. No vi a nadie dar la respuesta más correcta (imo), así que aquí está.

Para cambiar la definición de puerto con nombre de Linux globalmente, vaya a /etc/services

ssh             22/tcp
ssh             22/udp

No es necesario cambiar nada en la configuración de fail2ban ni en ninguna otra aplicación que use puertos con nombre de Linux.

Fred Flint
fuente