Fail2ban es una herramienta de prevención de ataques el cual monitorea los archivos log de varios servicios y cuando detecta intentos de acceso fallidos repetidamente, lo considera un intento de instrucción y bloquea la IP origen por medio de IPTABLES.
En este tutorial se mostrara como instalat Fail2ban por medio de yum para posteriormente activar la protección al servicio SSH.
Antes de empezar con la instalación debemos estar logeados como root.
Agregamos el repositorio EPEL
yum -y install epel-release
Una vez instalado el repositorio ejecutamos la siguiente instruccion para que empiece la instalacion de Fail2Ban
yum -y
install
fail2ban fail2ban-systemd
Con esto ya tendremos fail2ban instalado.
Para que SELINUX no nos de problemas, podemos hacer cualquiera de las siguientes opciones:
Opción 1.- Actualizar las politicas de SELINUX
yum update -y selinux-policy*
Opcion 2.- Desactivar SELINUX
Si optas por desactivar SELinux, ingresa a la siguiente liga para ver el procedimiento: https://miguelmuzquiz.wordpress.com/2016/02/12/activar-desactivar-selinux/
En este punto ya tenemos instalado fail2ban y procedemos en habilitar la protección al servicio SSH.
Creamos el archivo jail.local para editarlo.
vi /etc/fail2ban/jail.local
Agregamos el siguiente codigo:
[sshd]
enabled = true
port = ssh
#action = firewallcmd-ipset
logpath = %(sshd_log)s
maxretry = 5
bantime = 86400
Para arrancar el servicio teclea lo siguiente:
service fail2ban start
Para revisar si el servicio esta ejecutando teclea lo siguiente:
service fail2ban status
Para verificar si aplico la proteccion en el firewallD ejecutamos la siguiente linea:
iptables -L
Deberá aparecer la siguiente linea:
REJECT tcp -- anywhere anywhere multiport dports ssh match-set fail2ban-sshd src reject-with icmp-port-unreachable
Para detener fail2ban, solo tienes que teclear:
service fail2ban stop
Espero que esta información les sea útil.
Escrito por Miguel Angel Muzquiz Lizarraga