Si utiliza un shell seguro en sus servidores CentOS 7, siga estos pasos para agregar Fail2ban para bloquear el acceso de usuarios maliciosos a través de sshd.

    Si administra un servidor CentOS 7, probablemente haga un uso intensivo del shell seguro (ssh) para manejar tareas remotas. Los usuarios maliciosos pueden aprovecharse de que usted tenga el demonio ssh abierto y en ejecución. Aunque ssh es un protocolo seguro, no significa que sea perfecto. Con sshd disponible para el público, nunca se sabe cuándo alguien podría piratear el demonio y terminar con acceso a sus datos.

    Más información sobre ciberseguridad

    Con ese fin, quieres ir a todos los extremos para asegurar el demonio ssh. Una forma de lograrlo es a través de Fail2ban. El sistema Fail2ban analiza los archivos de registro y bloquea las direcciones IP que muestran signos de comportamiento malicioso, como un intento de inicio de sesión fallido. Fail2ban logra esto actualizando las reglas del cortafuegos basándose en lo que encuentra en los archivos de registro. Si Fail2ban ve una posible actividad maliciosa desde una dirección IP, ajustará las reglas del cortafuegos para bloquear esa dirección. Funciona bien.

    Vamos a instalar Fail2ban en CentOS 7, y configurarlo para monitorizar el demonio de shell seguro.

    VER: Política de seguridad de redes (Tech Pro Research)

    Instalación de Fail2ban

    Como no encontrará Fail2ban en los repositorios estándar, primero debe añadir el repositorio Paquetes Extra para Enterprise Linux. Abra una ventana de terminal y emita el comando:

    sudo yum install epel-release

    Una vez finalizada la instalación, instale Fail2ban con el comando:

    sudo yum instalar fail2ban

    Configuración de Fail2ban

    Con Fail2ban instalado, es hora de configurar el sistema. Primero, debe entender cómo funciona Fail2ban.

    Dentro del directorio /etc/fail2ban encontrará el archivo de configuración principal, jail.conf, y un directorio, jail.d. El archivo jail.conf es el archivo de configuración principal, y jail.d contiene los archivos de configuración secundarios. No queremos alterar el archivo jail.conf; en su lugar, crearemos manualmente el archivo jail.local, donde podremos añadir jaulas específicas para Fail2ban; en este caso, añadiremos la jaula sshd.

    Fail2ban lee los archivos de configuración en el siguiente orden:

    1. /etc/fail2ban/jail.conf
    2. /etc/fail2ban/jail.d/*.conf
    3. /etc/fail2ban/jail.local
    4. /etc/fail2ban/jail.d/*.local

    * Los archivos.conf y.local de jail.d se leen en orden alfabético.

    Vamos a crear un archivo jail.local para instruir a Fail2ban que supervise el demonio de shell seguro. Para crear este archivo, ejecute el comando sudo nano /etc/fail2ban/jail.local. El contenido de este archivo será:

    [DEFAULT]# Ban suspect IPs for ten minutes:bantime = 600maxretry = 3# Override the /etc/fail2ban/jail.d/00-firewalld.conf file:banaction = iptables-multiport[sshd]enabled = true

    El archivo de configuración anterior hace cuatro cosas. Eso:

    • establece un nuevo tiempo intermedio para todos los servicios (en este caso, 600 segundos);
    • establece el número de intentos que un cliente tiene que autenticar dentro de una ventana de tiempo antes de ser baneado (en este caso, 3);
    • asegura que el sistema está usando iptables para la configuración del cortafuegos al anular la acción iptables-multiport; y
    • habilita una jaula para sshd.

    Guarde y cierre el archivo. Ahora que has creado el archivo jail.local, tenemos que reiniciar Fail2ban con el comando:

    sudo systemctl reiniciar fail2ban

    Prueba de Fail2ban

    Podemos ver que Fail2ban ha incluido nuestra nueva jaula configurada con el comando:

    sudo fail2ban-estado del cliente

    El comando anterior debería listar sshd en la lista de jaulas (.

    Si desea obtener más información sobre una jaula en particular, puede ejecutar el comando:

    sudo fail2ban-estado del cliente JAILNAME

    En nuestro caso, el NOMBRE sería sshd.

    El comando anterior mostrará los intentos de inicio de sesión fallidos, así como si hay alguna IP actualmente prohibida .

    Si Fail2ban detecta actividades sospechosas de una IP, se les prohibirá durante 10 minutos antes de ser eliminados de la jaula.

    Una medida de uso obligatorio

    Si tiene un servidor que deja abierto el demonio ssh, debe instalarlo y utilizar Fail2ban. Va a ir un largo camino para evitar que los usuarios maliciosos obtengan acceso a sus datos a través de un shell seguro.

    Para obtener más información sobre las configuraciones de Fail2ban, consulte la documentación oficial.

    Boletín informativo de consejotecnologico.com

    Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves