Su servidor Ubuntu puede ser vulnerable a ataques. Para evitar inicios de sesión no deseados, Jack Wallen le muestra cómo instalar el sistema de detección de intrusos fail2ban.
Si desea proteger su servidor Ubuntu, una de las primeras cosas que debe hacer es instalar el sistema de detección de intrusos fail2ban. Lo que hace fail2ban es supervisar archivos de registro específicos (en /var/log) para detectar intentos de inicio de sesión fallidos o ataques automatizados en su servidor. Cuando se descubre un intento de compromiso desde una dirección IP, fail2ban bloquea la dirección IP (añadiendo una nueva cadena a iptables) para que no pueda entrar (o intentar atacar más) en el servidor.
Más información sobre ciberseguridad
Lo creas o no, fail2ban es tan fácil de instalar y usar, que debería ser considerado como algo obvio para todos los servidores Linux.
Quiero explicarte el proceso de instalación de fail2ban en Ubuntu Server 18.04. A continuación, le mostraré cómo añadir una jaula para supervisar los intentos fallidos de inicio de sesión SSH.
VER: Política de detección de intrusos (Tech Pro Research)
Instalación
La instalación de fail2ban es sencilla. Inicie sesión en su servidor Ubuntu y actualícelo o actualícelo. Tenga en cuenta que si el kernel se actualiza en este proceso, el servidor tendrá que ser reiniciado (así que ejecútelo en el momento en que un reinicio sea viable. Para actualizar el servidor, ejecute los siguientes comandos:
sudo apt-get updatesudo apt-get upgrade
Una vez completados los comandos anteriores, reinicie el servidor (si es necesario.
La instalación de fail2ban se puede hacer con un solo comando:
sudo apt-get install - fail2ban
Cuando finalice este comando, fail2ban estará listo para funcionar. Deberá iniciar y habilitar el servicio con los comandos:
sudo systemctl start fail2bansudo systemctl enable fail2ban
Configuración de una jaula
A continuación vamos a configurar una jaula para los intentos de inicio de sesión SSH. En el directorio /etc/fail2ban, encontrará el archivo jail.conf. No edite este archivo. En su lugar, crearemos un nuevo archivo, jail.local, que anulará cualquier configuración similar en jail.conf. Nuestra nueva configuración de jaulas monitorizará /var/log/auth.log, usará el filtro sshd fail2ban, establecerá el puerto SSH a 22, y establecerá el reintento máximo a 3. Para ello, emita el comando:
sudo nano /etc/fail2ban/jail.local
En este nuevo archivo, pegue el siguiente contenido:
sshd]enabled = trueport = 22filter = sshdlogpath = /var/log/auth.logmaxretry = 3
Guarde y cierre ese archivo. Reinicie fail2ban con el comando:
sudo systemctl reiniciar fail2ban
En este punto, si alguien intenta iniciar sesión en su servidor Ubuntu a través de SSH, y falla tres veces, se le impedirá la entrada, por medio de iptables bloqueando su dirección IP.
Pruebas y desbanqueos
Puede probar para asegurarse de que la nueva jaula funciona al fallar tres intentos de acceso al servidor, a través de ssh. Después del tercer intento fallido, la conexión se interrumpirá. Presione[Ctrl]+[c] para escapar y luego intente volver a SSH al servidor. Ya no debería poder acceder a SSH en ese servidor desde la dirección IP que estaba utilizando.
A continuación, puede desbancar su dirección IP de prueba con el siguiente comando:
sudo fail2ban-client set sshd unbanip IP_ADDRESS
donde IP_ADDRESS es la dirección IP prohibida.
Ahora debería poder volver a iniciar sesión en el servidor con SSH.
Arañando la superficie
Esto apenas rasca la superficie en cuanto a lo que fail2ban puede hacer. Pero ahora tienes una buena idea de cómo usar el sistema. Para obtener más información, asegúrese de leer la página de manual con el comando:
hombre fail2ban
Esta página del manual proporciona una buena visión general de lo que puede hacer fail2ban.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves