установка и настройка fail2ban на малине с установленым образом Majordomo 4.44
Началось все с того что как бы там не было, а удобство открытого во вне Magordomo победило
И тут пришлось подумать о безопасности, порт выбрал не популярный, пароль с 12 символов, но это не защищает от подбора и DOS аттак.
Именно по этому решил ставить fail2ban. Сам Majordomo у меня на raspberry pi и вроде бы все проще простого, но если бы не помощь
@eeak_biz , то на ngnix этот чудо f2b так бы и не заработал.
И так благодарим @eeak_biz и пробуем:
//установка Fail2ban
sudo apt-get install fail2ban
//изначальная настройка fail2ban
//создаем
sudo nano /etc/fail2ban/jail.local
с кодом:
[DEFAULT] ignoreip = 127.0.0.0/8 192.168.0.0/16 92.29.98.235 #IP–адреса, которые не должны быть заблокированы
banaction = iptables-multiport #заблокировать IP-адрес в iptables при помощи модуля multiports
findtime = 60 #интервал в секундах, за которое событие должно повториться определённое количество раз
bantime = 3600 #время бана в секундах
maxretry = 6 #количество подозрительных совпадений, после которых применяется правило
[majordomo]
enabled = true
port = http,https
logpath = /var/www/html/cms/debmes/*_auth.log
filter = majordomo
action = iptables-allports
//создаем файл фильтра
sudo nano /etc/fail2ban/filter.d/majordomo.conf
в тело каторого вставляем:
[Definition]
failregex = <HOST> (\[.+\]) .* invalid.+$
ignoreregex =
в дневной таймер Majordomo вставляем код который будет создавать пустой файл что бы fail2ban не падал:
DebMes("",'auth');
и также в
ThisComputer ->StartUp
DebMes("",'auth');
//что бы не падал после перезагрузки
//рестартим fail2ban:
sudo systemctl restart fail2ban.service
и проверяем с левого ip вход
или смотрим логи в которых будут ip всяких умников
или смотрим
sudo fail2ban-client status majordomo
Понимаю что это не гарантия безопасности, но все же хоть попытка.
Ірпінь, Украина