Manual rápido de fail2ban aplicado a ProFTPD

1. Intro

A veces, nuestros servidores sufren intentos de intrusión por fuerza bruta, por lo que es imprescindible que las cuentas tengan buenas contraseñas. Aunque sepamos que los ataques no vayan a fructificar, nos consumen ancho de banda y ciclos de CPU, nos convierten los ficheros log en enormes y son simplemente una maldad más a evitar.

Un demonio que viene en nuestra ayuda se llama fail2ban. Le podemos decir que vigile varios servicios a la vez: ssh, ftp, apache, etc. Esencialmente, el demonio lee los ficheros log que le digamos y compara los resultados con ciertos patrones. Según dichos patrones, si desde una ip se observan intentos fallidos de intrusión, el demonio genera una regla del cortafuegos iptables, se la pasa al núcleo y dicha ip es ignorada durante un cierto tiempo. El atacante se quedará esperando la respuesta a su último intento, por lo que acabará desistiendo.

Los datos que aparecen más abajo están a modo de ejemplo. Cada cual puede variarlos según gustos o necesidades. Hay que hacer todas las operaciones como root, claro está.

2. Instalación

fail2ban se encuentra en los repositorios, así que podemos usar bien urpmi o bien rpmdrake para instalarlo. Se crearán los siguientes ficheros:
/etc/fail2ban
|-fail2ban.conf
|-jail.conf
|-action.d
|-filter.d

donde action.d y filter.d son directorios que contienen las acciones y los filtros a considerar, y los ficheros fail2ban-client, fail2ban-regex, fail2ban-server.

3. Configuración

El fichero fail2ban.conf se puede dejar como está. Esencialmente, nos pide el tipo de mensajes que dará (error, warn, info o debug) en el fichero /var/log/fail2ban.log y el fichero socket.

El fichero jail.conf contiene los parámetros a configurar:

ignoreip = 127.0.0.1 #lista de ips permitidas siempre
bantime  = 86400 #tiempo de bloqueo en segundos de una ip, en mi caso 24 horas.
findtime  = 600 #intervalo de tiempo de búsqueda de errores
maxretry = 10 #número máximo de intentos fallidos

[proftpd-iptables]

enabled  = true
filter   = proftpd
action   = iptables[name=ProFTPD, port=ftp, protocol=tcp]
#	   sendmail-whois[name=ProFTPD, dest=you@mail.com]
logpath  = /var/log/proftpd/proftpd.log
maxretry = 10

En el ejemplo, activo la vigilancia sobre el servidor proftpd, con 10 intentos fallidos, vigilando el fichero /var/log/proftpd/proftpd.log y quitando la acción de enviar un correo electrónico cada vez que se bloquea un ataque. El fichero jail.conf tiene unos cuantos servicios más, que habrán de activarse con "enabled = true" y configurarse de forma similar.

En el directorio filter.d, abrimos el fichero proftd.conf con nuestro editor de texto favorito y lo grabamos como proftpd.local en el mismo directorio. He incluido las líneas

failregex = \(\S+\[\]\)[: -]+ no such user \S+$
            USER \S+: no such user found from \S* ?\[\] to \S+\s*$
	    \(\S+\[\]\)[: -]+ USER \S+ \(Login failed\): Incorrect password.*$

Estos son los patrones que compará fail2ban con el final de las líneas del fichero /var/log/proftpd/proftpd.log. La primera y seguna líneas son el patrón de un intento de intrusión con un usuario "aleatorio". La tercera línea es el patrón de un intento de intrusión con un usuario que reconoce nuestro servidor proftpd, pero que la contraseña es aleatoria.

4. En marcha

Para lanzar fail2ban, como root ejecutamos

fail2ban-client start

Si necesitamos reiniciar el servicio, ejecutamos

fail2ban-client reload

Por supuesto, desde el Centro de Control, se debe activar que fail2ban se lance en cada reinicio del sistema.

Más información en http://www.fail2ban.org/wiki/index.php/FAQ_spanish