Fail2ban Whitelist : Come inserire un indirizzo ip nella Whitelist in fail2ban.
Fail2ban Whitelist – Whitelist, o “elenco bianco”, è l’opposto di una blacklist. Mentre una blacklist elenca indirizzi IP o comportamenti da bloccare, una whitelist elenca indirizzi IP o comportamenti da consentire o autorizzare. La whitelist specifica chi o cosa è autorizzato ad accedere al server. Una whitelist contiene indirizzi IP o altri criteri che sono esclusi dalla risposta automatica di Fail2Ban. Gli indirizzi IP presenti nell’elenco bianco non saranno soggetti a blocchi temporanei.
Se dovesse essere necessario inserire un indirizzo IP nella whitelist di fail2ban, è possibile farlo seguendo questi semplici passaggi.
Editare /etc/fail2ban/jail.conf con tuo editor di testo preferito
(Tuttavia, il percorso esatto può variare in base alla tua distribuzione Linux. Puoi utilizzare il comando “whereis fail2ban” o “find / -name jail.conf” per trovarlo.)
Cercare ignoreip = 127.0.0.1/8 . Dovrebbe essere all’inizio del file dopo una 40 di line e aggiungere l’indirizzo IP o gli indirizzi del caso.
Comunque , l’aggiunta di un indirizzo ip nella whitelist rende la vostra macchina attaccabile da quell’indirizzo ed è quindi sconsigliabile.
….
….
[INCLUDES]
#before = paths-distro.conf
before = paths-debian.conf
The DEFAULT allows a global definition of the options. They can be overridden
# in each jail afterwards.
[DEFAULT]
#
MISCELLANEOUS OPTIONS
#
“ignoreip” can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
ban a host which matches an address in this list. Several addresses can be
defined using space separator.
ignoreip = 127.0.0.1/8
….
….
a questo punto dobbiamo riavviare il servizio:
se si tratta di Ubuntu/Debian
sudo service fail2ban restart
se si tratta di CentoOS/RHEL
sudo systemctl restart fail2ban
Fail2Ban è un framework software per la prevenzione delle intrusioni ( IPS – intrusion prevention software )che protegge i server da attacchi del tipo Brute Force. Scritto in Python, è in grado di funzionare su sistemi POSIX che hanno un’interfaccia con un sistema di controllo dei pacchetti o un firewall installato localmente, ad esempio, iptables o TCP Wrapper.
E’ stato sviluppato da Cyril Jaquier ed è un software open source distribuito sotto licenza GNU GPL (General Public License). La sua missione è aiutare gli amministratori di sistema a difendersi contro attacchi informatici comuni, come tentativi di accesso con password errate, attraverso il monitoraggio dei file di log e la temporanea limitazione dell’accesso agli indirizzi IP sospetti. Cyril Jaquier è l’autore principale del progetto Fail2Ban, ed è stato rilasciato per la prima volta nel 2004.
Opera monitorando i file di log (ad esempio /var/log/auth.log ed altri) per le voci selezionate e eseguendo script basati su di esse.
Più comunemente viene usato per bloccare indirizzi IP che potrebbero appartenere a host che stanno tentando di violare la sicurezza del sistema. Infatti, può “vietare” qualsiasi indirizzo IP host che tenti troppi accessi o esegua qualsiasi altra azione indesiderata entro un periodo di tempo definito dall’amministratore.
Fail2Ban è generalmente impostato per rimuovere il blocco di un host messo in carcere ( jail ) entro un certo periodo di tempo. Infatti un tempo di inattività di diversi minuti è solitamente sufficiente per impedire che una connessione di rete venga inondata da connessioni dannose, oltre a ridurre la probabilità che un attacco del tipo dictionary attack vada a buon fine.