Do meu entendimento básico iptables, montei a configuração abaixo destinada a executar um relé Tor ... aqui está depois de 6 horas aprox. Observe que não quero discutir nenhuma operação do Tor e, portanto, não serei apontado para https://tor.stackexchange.com/ Obrigado.
Houve um grande ataque na porta 22, que eu vi quando acordei, então eu mudei, a autenticação de senha já estava desabilitada, mas a pessoa/bot tentou invadir de qualquer maneira, eu tenho um RSA de 8192 bits de comprimento público/ chave privada, então espero que seja suficiente.
# iptables -L -v --line-numbers
saídas:
Chain INPUT (policy DROP 8242 packets, 735K bytes)
num pkts bytes target prot opt in out source destination
1 0 0 DROP tcp -- any any anywhere anywhere ctstate NEW tcp flags:!FIN,SYN,RST,ACK/SYN /* protection: non-syn packets */
2 10 452 DROP all -- any any anywhere anywhere ctstate INVALID /* protection: malformed packets */
3 20 1000 ACCEPT all -- lo any anywhere anywhere /* loopback: compulsory */
4 3 98 ACCEPT icmp -- any any anywhere anywhere icmp echo-request limit: avg 2/sec burst 5 /* ICMP: ping only */
5 16625 9388K ACCEPT all -- any any anywhere anywhere ctstate RELATED,ESTABLISHED /* traffic */
6 7 420 ACCEPT tcp -- any any anywhere anywhere ctstate NEW,ESTABLISHED tcp dpt:xxyyzz /* SSH: global obfuscated */ <-- CENSORED
7 438 26080 ACCEPT tcp -- any any anywhere anywhere tcp dpt:9001 /* Tor: OR */
8 558 30828 ACCEPT tcp -- any any anywhere anywhere tcp dpt:9030 /* Tor: Dir */
Chain FORWARD (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 16969 packets, 6369K bytes)
num pkts bytes target prot opt in out source destination
Eu gostaria de implantar fail2ban, mas nunca usei, então encontrei vários guias para configurá-lo, mas acredito que deveríamos ter algum exemplo neste site, encontrei muitos resultados para fail2bansozinho, porém apenas nada relevante para fail2banconfiguração inicial ?
Se isso por qualquer motivo não puder ser feito aqui, por favor, comente e eu vou excluir esta pergunta mais tarde.
Sistema: Debian GNU/Linux 11 (bullseye) com openssh-serverserviço para ssh.
Agradeço antecipadamente!
PS: Migrado de https://security.stackexchange.com/
Instalar o f2b no deb é bastante simples. Eu já tinha escrito em um post antes ( https://dev.slickalpha.blog/2019/11/installing-lemp-stack-on-debian-buster.html#sv-fail2ban ).
Primeiro você instala o f2b
Copie a configuração para local
e faça suas edições no arquivo local
atualize os valores padrão (a porta 22 é pré-ativada em f2b)
Reiniciar f2b
Verifique o status do sshd 22
Além disso, usar chave com senha deve ser suficiente. Você sempre pode ajustar f2b.
Atualizar:
Fail2ban basicamente verifica logs de IPs, usando filtros regex e bloqueia IPs correspondentes usando iptables.
Para listar as jails habilitadas (filtros regex para um serviço em f2b)
Para defender um porto ou serviço personalizado,
Verifique se os filtros regex para esse serviço estão presentes
Se eles estiverem presentes, digamos
jail-name.conf, apenas habilite-os no arquivo local f2bSob sintaxe
digamos que se o sshd não foi ativado, adicione
enabled = truea sshd jailPara testar as jails em seus logs e atualizar o regex se estiver ausente
Se não existirem jails para um serviço ou porta, verifique online esses filtros, adicione esses filtros
/etc/fail2ban/filter.de habilite-os no arquivo de configuração local.