Polskie Forum Użytkowników Debiana

Cześć.
ftp wystawiony na świat, około 10 kont dla +1000 użytkowników. Musi działać na standardowym porcie (zmiana portu byłaby rozwiązaniem, ale nie mogę tego zrobić z określonych powodów, podobnie zmiana haseł co jakiś czas w moim przypadku nie wchodzi w grę).

Chciałbym uzyskać taki efekt:
Z określonego IP po np. 5 nieudanych próbach logowania, dany adres jest blokowany na określoną ilość sekund (blokowany tzn. nie odrzucany na firewallu ale od czasu nawiązania połączenia z ftp do monitu o login i hasło mija określona ilość sekund).

Cel - walka z różnego rodzaju botami, które próbują złamać hasła

fail2ban
http://www.howtoforge.com/fail2ban_debian_etch

Dziękuje - zaraz przetestuję.

Dziękuje - zaraz przetestuję.

Może ktoś pomoże dostosować failregex dla pure-ftpd?

Domyślnie ustawiony jest taki:

Kod: Zaznacz cały

failregex = pure-ftpd(?:\[\d+\])?: (.+?@<HOST>) \[WARNING\] %(__errmsg)s \[.+\]$

Ale on nie działa dla logów z /var/log/messages

Kod: Zaznacz cały

pure-ftpd: ([email protected]) [WARNING] Authentication failed for user [user]

Albo dla /var/log/auth.log:

Kod: Zaznacz cały

pure-ftpd: pam_unix_auth(pure-ftpd:auth): authentication failure;

Edycja:
Zadziałało:

Kod: Zaznacz cały

pure-ftpd(?:\[\d+\])?: (.+?@<HOST>\)) \[WARNING\] %(__errmsg)s \[.+\]$

Można również skorzystać z prostszego rozwiązania

Kod: Zaznacz cały

$IPTABLES -N ftp_blocked
$IPTABLES -A ftp_blocked -m recent --name pure-ftpd --rcheck --hitcount 5 --seconds 120 -j REJECT --reject-with icmp-host-unreachable
$IPTABLES -A ftp_blocked -m recent --name pure-ftpd --update
$IPTABLES -A ftp_blocked -m recent --name pure-ftpd --rcheck -j ACCEPT
$IPTABLES -A ftp_blocked -m recent --name pure-ftpd --set
$IPTABLES -A ftp_blocked -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 21 --syn -m state --state NEW -j ftp_blocked

Polskie Forum Użytkowników Debiana

Pure-FTPD tymczasowe blokowanie adresu IP po n-nieudanych próbach logowania

Pure-FTPD tymczasowe blokowanie adresu IP po n-nieudanych próbach logowania