Come inserire un indirizzo ip nella Whitelist in fail2ban

file2ban e whitelist

Se dovesse essere necessario inserire un indirizzo IP  nella  whitelist di fail2ban, è possibile farlo seguendo questi semplici passaggi.

file2ban e whitelist
fail2ban & whitelist

Rispondo a Mario P.

Editare  /etc/fail2ban/jail.conf con  tuo editor di testo preferito

Cercare ignoreip = 127.0.0.1/8 . Dovrebbe essere all’inizio del file dopo una 40 di linee e aggiungere l’indirizzo IP o gli indirizzi del caso.

Al termine riavviare il servizio  con

service fail2ban restart

Comunque , l’aggiunta di un indirizzo ip nella whitelist rende la vostra macchina attaccabile da quell’indirizzo ed è quindi sconsigliabile.

….

….

[INCLUDES]

#before = paths-distro.conf
before = paths-debian.conf

# The DEFAULT allows a global definition of the options. They can be overridden
# in each jail afterwards.

[DEFAULT]

#
# MISCELLANEOUS OPTIONS
#

# “ignoreip” can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
ignoreip = 127.0.0.1/8

….

….



Cosa è file2ban

Fail2Ban è un framework software per la prevenzione delle intrusioni ( IPS – intrusion prevention software )che protegge i server da attacchi del tipo Brute Force. Scritto in Python, è in grado di funzionare su sistemi POSIX che hanno un’interfaccia con un sistema di controllo dei pacchetti o un firewall installato localmente, ad esempio, iptables o TCP Wrapper.

fail2Ban opera monitorando i file di log (ad esempio /var/log/auth.log ed altri) per le voci selezionate e eseguendo script basati su di esse. Più comunemente viene usato per bloccare indirizzi IP  che potrebbero appartenere a host che stanno tentando di violare la sicurezza del sistema. Può vietare qualsiasi indirizzo IP host che tenti troppi accessi o esegua qualsiasi altra azione indesiderata entro un periodo di tempo definito dall’amministratore. Fail2Ban è generalmente impostato per rimuovere il blocco di un host messo in carcere ( jail ) entro un certo periodo di tempo. Infatti un tempo di inattività di diversi minuti è solitamente sufficiente per impedire che una connessione di rete venga inondata da connessioni dannose, oltre a ridurre la probabilità che un attacco del tipo dictionary attack vada a buon fine.