Fail2ban Whitelist : Come inserire un indirizzo ip nella Whitelist in fail2ban.

8 Settembre 201813 Ottobre 2023 Giovanni Popolizio comandi linux, cybersicurezza, Fail2Ban, Fail2Ban Blacklist, hacking, networking, Scurezzainformatica, sicurezza linux

Fail2ban Whitelist – Whitelist, o “elenco bianco”, è l’opposto di una blacklist. Mentre una blacklist elenca indirizzi IP o comportamenti da bloccare, una whitelist elenca indirizzi IP o comportamenti da consentire o autorizzare. La whitelist specifica chi o cosa è autorizzato ad accedere al server. Una whitelist contiene indirizzi IP o altri criteri che sono esclusi dalla risposta automatica di Fail2Ban. Gli indirizzi IP presenti nell’elenco bianco non saranno soggetti a blocchi temporanei.

Se dovesse essere necessario inserire un indirizzo IP nella whitelist di fail2ban, è possibile farlo seguendo questi semplici passaggi.

Editare /etc/fail2ban/jail.conf con tuo editor di testo preferito

(Tuttavia, il percorso esatto può variare in base alla tua distribuzione Linux. Puoi utilizzare il comando “whereis fail2ban” o “find / -name jail.conf” per trovarlo.)

Cercare ignoreip = 127.0.0.1/8 . Dovrebbe essere all’inizio del file dopo una 40 di line e aggiungere l’indirizzo IP o gli indirizzi del caso.

Comunque , l’aggiunta di un indirizzo ip nella whitelist rende la vostra macchina attaccabile da quell’indirizzo ed è quindi sconsigliabile.

….

[INCLUDES]

#before = paths-distro.conf
before = paths-debian.conf

The DEFAULT allows a global definition of the options. They can be overridden
# in each jail afterwards.

[DEFAULT]

#
MISCELLANEOUS OPTIONS
#

“ignoreip” can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
ban a host which matches an address in this list. Several addresses can be
defined using space separator.
ignoreip = 127.0.0.1/8

….

a questo punto dobbiamo riavviare il servizio:

se si tratta di Ubuntu/Debian

sudo service fail2ban restart

se si tratta di CentoOS/RHEL

sudo systemctl restart fail2ban

Fail2Ban è un framework software per la prevenzione delle intrusioni ( IPS – intrusion prevention software )che protegge i server da attacchi del tipo Brute Force. Scritto in Python, è in grado di funzionare su sistemi POSIX che hanno un’interfaccia con un sistema di controllo dei pacchetti o un firewall installato localmente, ad esempio, iptables o TCP Wrapper.

E’ stato sviluppato da Cyril Jaquier ed è un software open source distribuito sotto licenza GNU GPL (General Public License). La sua missione è aiutare gli amministratori di sistema a difendersi contro attacchi informatici comuni, come tentativi di accesso con password errate, attraverso il monitoraggio dei file di log e la temporanea limitazione dell’accesso agli indirizzi IP sospetti. Cyril Jaquier è l’autore principale del progetto Fail2Ban, ed è stato rilasciato per la prima volta nel 2004.

Opera monitorando i file di log (ad esempio /var/log/auth.log ed altri) per le voci selezionate e eseguendo script basati su di esse.

Più comunemente viene usato per bloccare indirizzi IP che potrebbero appartenere a host che stanno tentando di violare la sicurezza del sistema. Infatti, può “vietare” qualsiasi indirizzo IP host che tenti troppi accessi o esegua qualsiasi altra azione indesiderata entro un periodo di tempo definito dall’amministratore.

Fail2Ban è generalmente impostato per rimuovere il blocco di un host messo in carcere ( jail ) entro un certo periodo di tempo. Infatti un tempo di inattività di diversi minuti è solitamente sufficiente per impedire che una connessione di rete venga inondata da connessioni dannose, oltre a ridurre la probabilità che un attacco del tipo dictionary attack vada a buon fine.