Про безопасность: fail2ban.

Про безопасность: fail2ban.

Уже достаточно приличное время на моем сервере крутится софтинка fail2ban. Что она делает я описывать не буду, скажу лишь одно: делает она это замечательно. В очередной раз обурев от почтовых логов, в которых каждые 20-30 сек. попытка рассылки на кучу адресов (говоря проще, 550-я), я решил закрутить гайки. Конкретно закрутить гайки, итак:

1) SMTP: 450-я (Sender address rejected) и 550-я (Recipient address rejected) наказываются со второго раза на 20 суток.
2)  APACHE: File does not exist и client denied by server наказываются  наказываются с третьего раза на 8 часов
3) SSH: обычные попытки — 20 мин, попытки DDoS — 8 часов.
4) FTP/SASL/DNS и часть Апача — наказывается 20 минутами после третьей попытки.

Как? Просто в iptables блочится надоедливый IP адрес на указанный промежуток времени. При обнаружении аномалий или увеличения попыток подлома — без предупреждения закручу гайки еще круче.

Почему и зачем. А задолбали логи со сканами папок, попытки открыть /admin.php и т.п. там, где их нет, попыток войти в скрытые папки, запарили логи mail.warn и mail.info кишащие ошибками.

У кого-то проблемы? В первую очередь — пишите админам сайтов, которые расположены у меня, они в свою очередь будут проверять у себя, а потом уже свяжутся со мной.

Немного статистики:
Начиная с 12.07.2012 с 8:34 (последние применения правил и перезагрузка сервиса)

root@terekhov:/var/log# fail2ban-client status postfix
Status for the jail: postfix
|- filter
| |- File list: /var/log/mail.log 
| |- Currently failed: 15
| `- Total failed: 24182
`- action
 |- Currently banned: 4921

и

root@terekhov:/var/log# fail2ban-client status postfix-warn
Status for the jail: postfix-warn
|- filter
| |- File list: /var/log/mail.warn 
| |- Currently failed: 11
| `- Total failed: 5148
`- action
 |- Currently banned: 1289

Т.е. за 147 часов 6210 ip-адресов, т.е. по 42,2 забаненных ip в час! Это без учета apache/ftp/ssh, хотя, признаю, там банов в десятки раз меньше.