{"id":9394,"date":"2023-03-03T15:07:50","date_gmt":"2023-03-03T18:07:50","guid":{"rendered":"https:\/\/categoriaoutros.com.br\/?p=9394"},"modified":"2023-03-06T12:11:35","modified_gmt":"2023-03-06T15:11:35","slug":"linux-como-proteger-ssh-com-fail2ban","status":"publish","type":"post","link":"https:\/\/categoriaoutros.com.br\/?p=9394","title":{"rendered":"Linux: Como proteger SSH com Fail2Ban?"},"content":{"rendered":"\n
\"\"\/
fail2ban<\/figcaption><\/figure>\n\n\n\n

SSH \u00e9 um m\u00e9todo comum e seguro de se conectar a um servidor em nuvem ou remoto. No entanto, nenhum protocolo ou software \u00e9 totalmente infal\u00edvel, e o SSH sendo t\u00e3o amplamente usado na Internet significa que ele representa um alvo de ataque muito previs\u00edvel por meio do qual as pessoas podem tentar obter acesso. Sim, qualquer servi\u00e7o exposto \u00e0 rede \u00e9 um alvo em potencial.<\/p>\n\n\n\n

Em locais e empresas onde ter uma possibilidade de ataque \u00e9 completamente inaceit\u00e1vel, geralmente implementam uma VPN como WireGuard na frente de seu servi\u00e7o SSH, de modo que \u00e9 imposs\u00edvel conectar-se diretamente \u00e0 porta SSH padr\u00e3o 22 da Internet externa sem abstra\u00e7\u00e3o de software adicional ou entradas. Essas solu\u00e7\u00f5es VPN s\u00e3o amplamente confi\u00e1veis, mas adicionam complexidade e podem quebrar algumas automa\u00e7\u00f5es ou outros pequenos acessos de software.<\/p>\n\n\n\n

Veja: O que \u00c9 Ataque de For\u00e7a Bruta em Inform\u00e1tica?<\/a><\/p>\n\n\n\n

Mas voc\u00ea pode implementar uma ferramenta chamada Fail2ban<\/strong>. O Fail2ban<\/strong> pode mitigar significativamente os ataques por for\u00e7a bruta criando regras que alteram automaticamente a configura\u00e7\u00e3o do seu firewall para banir IPs espec\u00edficos ap\u00f3s um certo n\u00famero de tentativas de login malsucedidas. Isso permitir\u00e1 que seu servidor se proteja contra essas tentativas de acesso sem sua interven\u00e7\u00e3o. <\/p>\n\n\n\n

Veja: Em Quanto Tempo uma Ferramenta de Ataque por For\u00e7a Bruta Poderia Descobrir uma Senha?<\/a><\/p>\n\n\n\n

Instalando o Fail2ban<\/h2>\n\n\n\n

EM RED HAT, CENTOS, ROCKY LINUX E DERIVADOS<\/strong><\/p>\n\n\n\n

dnf update -y<\/pre>\n\n\n\n
dnf install fail2ban<\/pre>\n\n\n\n
DEBIAN, UBUNTU E DERIVADOS<\/strong><\/p>\n\n\n\n
apt update -y<\/pre>\n\n\n\n
apt install fail2ban<\/pre>\n\n\n\n
Fail2ban estar\u00e1 desativado por padr\u00e3o, porque algumas de suas configura\u00e7\u00f5es padr\u00e3o podem causar efeitos indesejados.<\/p>\n\n\n\n
Voc\u00ea pode habilitar o Fail2ban imediatamente, mas primeiro, voc\u00ea revisar\u00e1 alguns de seus recursos.<\/p>\n\n\n\n
Criando Nosso Arquivo de Configura\u00e7\u00e3o para o  Fail2ban<\/h2>\n\n\n\n
Configurando o Fail2ban<\/h2>\n\n\n\n
O servi\u00e7o fail2ban mant\u00e9m seus arquivos de configura\u00e7\u00e3o no diret\u00f3rio \/etc\/fail2ban<\/strong>. Existe um arquivo com padr\u00f5es chamado jail.conf<\/strong>. N\u00e3o mexa no arquivo jail.conf!<\/mark> Se fizer alguma altera\u00e7\u00e3o ela ser\u00e1 apagada em atualiza\u00e7\u00f5es. Em vez disso, voc\u00ea tem duas op\u00e7\u00f5es: criar perfis individuais para Fail2ban em v\u00e1rios arquivos dentro do diret\u00f3rio jail.d\/ ou criar e coletar todas as suas configura\u00e7\u00f5es locais em um arquivo jail.local.<\/p>\n\n\n\n
Vou optar por criar o arquivo jail.local. Voc\u00ea pode fazer isso copiando jail.conf. Podemos copiar o arquivo jail.conf para criar o jail.local<\/p>\n\n\n\n
#1 Acesse a pasta \/etc\/fail2ban\/<\/strong><\/p>\n\n\n\n
cd \/etc\/fail2ban\/<\/pre>\n\n\n\n
#2 copie jail.conf para jail.local<\/p>\n\n\n\n
cp jail.conf jail.local<\/pre>\n\n\n\n
Pronto, temos um novo arquivo criado com configura\u00e7\u00f5es aproveitadas de do arquivo jail.conf \ud83d\ude42<\/p>\n\n\n\n
#3 Acesse o arquivo \/etc\/fail2ban\/jail.local usando seu editor de texto preferido. Pode ser o editor nano, vim, vi…<\/p>\n\n\n\n
sudo nano jail.local<\/pre>\n\n\n\n
Configurando jail.local Fail2ban<\/h2>\n\n\n\n
Aten\u00e7\u00e3o: acrescente “enabled = true” somente no servi\u00e7o que queira ativar. Se ativar um servi\u00e7o que n\u00e3o exista ser\u00e1 gerado erro. <\/p><\/blockquote><\/figure>\n\n\n\n
As op\u00e7\u00f5es feitas em jail.local sobrescrever\u00e3o as padr\u00f5es que est\u00e3o em jail.conf.<\/p>\n\n\n\n
As configura\u00e7\u00f5es localizadas na se\u00e7\u00e3o [DEFAULT] <\/strong>pr\u00f3ximo ao topo do arquivo ser\u00e3o aplicadas a todos os servi\u00e7os suportados pelo Fail2ban.<\/p>\n\n\n\n
Existem se\u00e7\u00f5es para [sshd] <\/strong>e para outros servi\u00e7os, que cont\u00eam configura\u00e7\u00f5es espec\u00edficas do servi\u00e7o que ser\u00e3o aplicadas. <\/p>\n\n\n\n
Vamos alterar algumas op\u00e7\u00f5es de dentro de jail.local<\/p>\n\n\n\n
#1 O par\u00e2metro bantime<\/strong> define o per\u00edodo de tempo que um cliente ser\u00e1 banido quando falhar na autentica\u00e7\u00e3o correta. Isso \u00e9 medido em segundos. Por padr\u00e3o, isso \u00e9 definido como 10 minutos.<\/p>\n\n\n\n
Altere bantime para 20 minutos ou outro tempo que desejar<\/p>\n\n\n\n
[DEFAULT]\n. . .\nbantime = 20m\n. . .<\/pre>\n\n\n\n
#2 Os pr\u00f3ximos dois par\u00e2metros s\u00e3o findtime<\/strong> e maxretry<\/strong>. Eles trabalham juntos para estabelecer as condi\u00e7\u00f5es sob as quais um cliente \u00e9 considerado um usu\u00e1rio ileg\u00edtimo que deve ser banido.<\/p>\n\n\n\n
A vari\u00e1vel maxretry<\/strong> define o n\u00famero de tentativas que um cliente tem para autenticar dentro de uma janela de tempo definida por findtime<\/strong>, antes de ser banido. Com as configura\u00e7\u00f5es padr\u00e3o, o servi\u00e7o fail2ban banir\u00e1 um cliente que tentar fazer login sem sucesso 5 vezes em uma janela de 10 minutos.<\/p>\n\n\n\n
[DEFAULT]\n. . .\nfindtime = 10m\nmaxretry = 5\n. . .<\/pre>\n\n\n\n
#3 Se voc\u00ea precisar receber alertas de e-mail quando o Fail2ban entrar em a\u00e7\u00e3o, voc\u00ea deve ajustar os par\u00e2metros destemail<\/strong>, sendername<\/strong> e mta<\/strong>. <\/p>\n\n\n\n