Fail2Ban e auth.log di dimensioni bibliche

Moffetta88 · 8 Febbraio 2020

Ho una decina di vps ( se non di più ) ma ce n'è una, la prima che presi, che mi sta dando rogne.
SO: ubuntu vivid server ( sì lo so, è da aggiornare, ma non posso )
Interfaccia di gestione: webmin ( mi trovo molto bene )
Sistemi di sicurezza: fail2ban
Servizi esposti: apache2 (80/443), nodejs/express ( 8888 ), webmin (10000 ), ftp, ssh e mysql ed un ipotetico mongodb che è stato eliminato alla grande perchè creava problemi.

Ieri sera vedevo che c'era fail2ban che mi ciucciava il 40% di cpu ( è un monocore la vps ) allora sono andato a vedere prima /var/log/auth.log ed era tipo 1.3GB, poi quello /var/log/fail2ban.log ed era sui 400MB...

Modificando il logrotate.conf e poi dando il comando ho snellito i log, ma ho continui tentativi di login tramite ssh e tty
Per il momento tramite fail2ban ho impostato tentativi 3 e poi permaban, avete qualche suggerimento per aumentare la sicurezza o che non mi popoli log infiniti?

r3dl4nce · 8 Febbraio 2020

Fatti cambiare IP pubblico, disattiva accesso a ssh con password (solo certificato) o ancora meglio management via VPN

Moffetta88 · 8 Febbraio 2020

Grazie mille per i consigli!
Il cambio di ip è impossibile purtroppo ( ci sono sopra servizi/db/siti )...
Provvederò a fare cambio del protocollo di autenticazione e farlo solo tramite certificato + password. La vpn potrebbe essere una soluzione, ma purtroppo ho due servizietti che lavorano direttamente in ssh e potrebbe essere un problema :/
Intanto ho cambiato tutte le password stanotte ed aggiornato tutti i software. Dove potevo ho messo tutti gli accessi in blacklist tranne il mio ip in whitelist..

r3dl4nce · 8 Febbraio 2020

I servizi / siti ecc dovrebbero tutti usare un dns no? Chiedi un cambio IP al gestore della vps, se può farlo (tipo Aruba lo fa in certi casi) e poi aggiorni i dns.
Se hai servizi che accedono direttamente in ssh, io li varierei subito, creando una vpn tra i due server e a quel punto accessi in ssh tramite vpn
Alternativa puoi anche gestire iptables della vps chiudendo le porte su cui hai attacchi e attivandole tramite port knocking

Moffetta88 · 8 Febbraio 2020

Accedono tutti su dns, mai direttamente con ip. Però se faccio variazione ip vado a perdere l'indicizzazione del sito no?
Ho già mandato comunque una segnalazione al provider che mi ha risposto che hanno già riscontrato dati anomali ddos e che gran parte del traffico lo stanno bloccando loro...

Alternativa puoi anche gestire iptables della vps chiudendo le porte su cui hai attacchi e attivandole tramite port knocking

Effettivamente...
Oppure aspetto che tutti gli indirizzi ip della Cina siano nella blacklist ahahahah ( prima o poi finiranno )

centoventicinque · 10 Febbraio 2020

sta succedendo la stessa cosa a me, ip cinesi che tentano di loggarsi con ssh a nome " petr"

Moffetta88 · 10 Febbraio 2020

centoventicinque ha detto:
sta succedendo la stessa cosa a me, ip cinesi che tentano di loggarsi con ssh a nome " petr"

"buono" a sapersi, almeno non sono solo l'unico. A causa di una cosa simile ho dovuto togliere persino l'accesso da remoto del nas di casa mia. Avevo dai 15 ai 20 tentativi di accesso al secondo :( ed infatti in casa ho blindato tutto con vpn

r3dl4nce · 10 Febbraio 2020

Io personalmente sono abbastanza tranquillo con ssh root solo con certificato

Moffetta88 · 10 Febbraio 2020

r3dl4nce ha detto:
Io personalmente sono abbastanza tranquillo con ssh root solo con certificato

vero vero, ma ormai se hai aperto le porte persino per le lampadine ti iniziano a bombardare di tentativi di login...
Per "gioco" ho aperto un portalino su porta 80 del mio ip con una schermata di login.. Devi vedere quanta gente tenta di loggarsi.. Uno schifo

Cerca

Fail2Ban e auth.log di dimensioni bibliche

Moffetta88

Moderatore

r3dl4nce

Moffetta88

Moderatore

r3dl4nce

Moffetta88

Moderatore

centoventicinque

Moderatore

Moffetta88

Moderatore

r3dl4nce

Moffetta88

Moderatore

Entra