fail2ban non mi banna

[korda]

Disclaimer: per evitare fraintendimenti specifico che sto usando un altro RaspberryPI, non quello defunto menzionato altrove

Ho installato fail2ban e ho configurato l'accesso ssh, sul file /etc/fail2ban/jail.local, come da loro indicato:

Codice: Seleziona tutto

[sshd]
enabled   = true
filter    = sshd
port      = ssh
banaction = iptables-multiport
bantime   = -1
maxretry  = 3
logpath   = %(sshd_log)s
backend   = %(sshd_backend)s

Ho provato a sbagliare più volte la mia password e dal log vedo che sono stato bannato:

Codice: Seleziona tutto

2022-10-09 10:48:34,233 fail2ban.server         [518]: INFO    --------------------------------------------------
2022-10-09 10:48:34,236 fail2ban.server         [518]: INFO    Starting Fail2ban v0.11.2
2022-10-09 10:48:34,239 fail2ban.observer       [518]: INFO    Observer start...
2022-10-09 10:48:34,307 fail2ban.database       [518]: INFO    Connected to fail2ban persistent database '/var/lib/fail2ban/fail2ban.sqlite3'
2022-10-09 10:48:34,326 fail2ban.jail           [518]: INFO    Creating new jail 'sshd'
2022-10-09 10:48:34,516 fail2ban.jail           [518]: INFO    Jail 'sshd' uses pyinotify {}
2022-10-09 10:48:34,535 fail2ban.jail           [518]: INFO    Initiated 'pyinotify' backend
2022-10-09 10:48:34,546 fail2ban.filter         [518]: INFO      maxLines: 1
2022-10-09 10:48:34,676 fail2ban.filter         [518]: INFO      maxRetry: 3
2022-10-09 10:48:34,677 fail2ban.filter         [518]: INFO      findtime: 600
2022-10-09 10:48:34,678 fail2ban.actions        [518]: INFO      banTime: -1
2022-10-09 10:48:34,678 fail2ban.filter         [518]: INFO      encoding: UTF-8
2022-10-09 10:48:34,686 fail2ban.filter         [518]: INFO    Added logfile: '/var/log/auth.log' (pos = 28200, hash = 48e375da737469bfc0f71c8b3c368eab57013039)
2022-10-09 10:48:34,693 fail2ban.jail           [518]: INFO    Jail 'sshd' started
2022-10-09 10:52:55,705 fail2ban.filter         [518]: INFO    [sshd] Found 151.68.155.119 - 2022-10-09 10:52:55
2022-10-09 10:53:01,617 fail2ban.filter         [518]: INFO    [sshd] Found 151.68.155.119 - 2022-10-09 10:53:01
2022-10-09 10:53:06,881 fail2ban.filter         [518]: INFO    [sshd] Found 151.68.155.119 - 2022-10-09 10:53:06
2022-10-09 10:53:07,310 fail2ban.actions        [518]: NOTICE  [sshd] Ban 151.68.155.119
2022-10-09 10:53:09,589 fail2ban.filter         [518]: INFO    [sshd] Found 151.68.155.119 - 2022-10-09 10:53:09
2022-10-09 10:53:09,630 fail2ban.filter         [518]: INFO    [sshd] Found 151.68.155.119 - 2022-10-09 10:53:09
2022-10-09 10:53:14,440 fail2ban.filter         [518]: INFO    [sshd] Found 151.68.155.119 - 2022-10-09 10:53:14
2022-10-09 10:53:14,812 fail2ban.actions        [518]: NOTICE  [sshd] 151.68.155.119 already banned
2022-10-09 10:53:16,047 fail2ban.filter         [518]: INFO    [sshd] Found 151.68.155.119 - 2022-10-09 10:53:15
2022-10-09 10:53:47,670 fail2ban.filter         [518]: INFO    [sshd] Found 151.68.155.119 - 2022-10-09 10:53:47

Eppure, nonostante il ban riesco ad entrare ugualmente. Come mai?
N.B.: ssh è configurato su una porta diversa dalla 22, e mi sto collegando via PuTTY da remoto. Possibile che port = ssh si riferisca alla 22 (default) e non a quella effettivamente configurata?

[korda]

Possibile che port = ssh si riferisca alla 22 (default) e non a quella effettivamente configurata?

Sì, è così... mi sono fatto la domanda e risposto da solo Scusate per il marzulliano disturbo

Edit: nota in appendice per chi usa RaspberryOS. Di default il pacchetto iptables non è installato, né viene installato come "eventuale" dipendenza di fail2ban. Bisogna installarselo manualmente

[korda]

Ho tolto il Risolto precedentemente inserito perché mi é sorto un dubbio...

Come potrei editare meglio il file jail.local dal momento che un IP pubblico può facilmente mutare nel tempo?

[frapox]

il modo migliore a mio avviso è quello di aggiungere uno o più snippet sotto /etc/fail2ban/jail.d con i delta di configurazione, e non toccare il file di configurazione principale delle jail (che di solito è già tweakato dalla distro).

Per esempio, su una mia debian:

Codice: Seleziona tutto

/etc/fail2ban$ cat jail.conf 
...
[sshd]
# To use more aggressive sshd modes set filter parameter "mode" in jail.local:
# normal (default), ddos, extra or aggressive (combines all).
# See "tests/files/logs/sshd" or "filter.d/sshd.conf" for usage example and details.
#mode   = normal
port    = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s
...

Codice: Seleziona tutto

cat jail.d/defaults-debian.conf

[DEFAULT]
# "bantime" is the number of seconds that a host is banned.
bantime  = 15m

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime  = 10m

# "maxretry" is the number of failures before a host get banned.
maxretry = 3

[sshd]
port = 1234
enabled = true

Come si vede, nel jail.conf ho la configurazione "default" di ssh, nello snippet ho le mie impostazioni di porta e la abilitazione della jail, più altre impostazioni globali sulle modalità di ban. Ovviamente puoi anche sovrascrivere delle impostazioni presenti nel file principale, in quanto gli snippet vengono letti per ultimi e hanno la priorità.

[korda]

il modo migliore a mio avviso è quello di aggiungere uno o più snippet sotto /etc/fail2ban/jail.d con i delta di configurazione, e non toccare il file di configurazione principale delle jail (che di solito è già tweakato dalla distro).
[...]

Buona idea, io ho seguito quanto indicavano sul sito: fare una copia di jail.conf, rinominarla come jail.local ed editare quest'ultima.

La mia richiesta in seconda battuta riguarda uno scenario come il seguente. Immaginiamo che l'attaccante si colleghi ad internet tramite un hotspot (ad esempio banalmente il tethering del suo smartphone). Se effettuasse l'attacco in tempi diversi il suo indirizzo IP cambierà: come potrei prevenire questo comportamento? (a priori intendo, a posteriori fail2ban bannerebbe comunque)

[frapox]

La mia richiesta in seconda battuta riguarda uno scenario come il seguente. Immaginiamo che l'attaccante si colleghi ad internet tramite un hotspot (ad esempio banalmente il tethering del suo smartphone). Se effettuasse l'attacco in tempi diversi il suo indirizzo IP cambierà: come potrei prevenire questo comportamento? (a priori intendo, a posteriori fail2ban bannerebbe comunque)

Come potresti prevenire che qualcuno da remoto cambi IP? Boh, forse mandando un cecchino a casa sua...

[korda]

La mia richiesta in seconda battuta riguarda uno scenario come il seguente. Immaginiamo che l'attaccante si colleghi ad internet tramite un hotspot (ad esempio banalmente il tethering del suo smartphone). Se effettuasse l'attacco in tempi diversi il suo indirizzo IP cambierà: come potrei prevenire questo comportamento? (a priori intendo, a posteriori fail2ban bannerebbe comunque)

Come potresti prevenire che qualcuno da remoto cambi IP? Boh, forse mandando un cecchino a casa sua...

Effettivamente hai ragione: mi domandavo solamente se esistessero dei pool di IP da targettare (un po' come già accade, per analogia, sulle blacklist per chi accede qui da Tor) e se si possano già dare in pasto a fail2ban. Che magari di per sé questo tool forse è un wrapperone che richiama altri strumenti più specifici e/o con sintassi più complessa (ma non lo conosco ancora a sufficienza).

[frapox]

Effettivamente hai ragione: mi domandavo solamente se esistessero dei pool di IP da targettare (un po' come già accade, per analogia, sulle blacklist per chi accede qui da Tor) e se si possano già dare in pasto a fail2ban.

Se vuoi dare in pasto dei range di IP da bloccare, il tool da usare non è fail2ban ma il firewall che utilizzi o direttamente iptables/nfstables. fail2ban serve solo a bloccare gli ip sulla base di un certo numero di autenticazioni fallite.

Comunque per esperienza già cambiando il numero di porta di Ssh dalla 22 ad altra, il numero dei tentativi di bruteforce dovrebbe diminuire in modo consistente per non dire azzerarsi.