Baneos permanentes con Fail2ban

[nukeador]

Habría que configurar Fail2ban para que no sólo bloquee a los atacantes por iptables temporalmente, si no que los meta también en el hosts.deny

[pochy-ja]

Estas usando el paquete del repositorio? porque para eso debe haberse compilado con el flag de las tcp wrappers, no recuerdo si ya viene con ese flag activado, pero si esta activado para el el servicio de ssh y apache debe ser algo así...

[ssh-tcpwrapper]

enabled = true filter = sshd action = hostsdeny sendmail-whois[name=SSH, dest=info@nukeador.com] ignoreregex = for nukeador from logpath = /var/log/messages

Ejemplo para ssh eliminando y evitando el usuario nukeador en el archivo para poder acceder si es un host remoto

[apache-tcpwrapper]

enabled = true filter = apache-auth action = hostsdeny logpath = /var/log/apache2/error_log maxretry = 6

Ejemplo para la misma funcionalidad pero para el usuario apache, especificando el lugar de los logs de apache

Así lo estuve probando un tiempo personalmente y me fue bien.

Saludos

[nukeador]

Usamos el del repo, entonces ¿para poder usar "action = hostsdeny" necesitamos compilarlo?

¿Hay alternativas a fail2ban que podamos instalar desde repo? No me gustaría instalar cosas que requieran mantenimiento manual para las actualizaciones.

[pochy-ja]

Lo que quise decir es que cuando lo usé lo compilé y debía tener ese flag activo para poder usar esa opción con los ejemplos que te puse en mi comentario anterior, ahora probé con mi sistema que es basado en 14.04 y me a pedido como dependecia el paquete de las tcp-wrappers asi que si viene activado por defecto, la versión actual es 0.8.11 y veo que te crea un achivo en /etc/fail2ban/action.d/hostsdeny.conf que ahi es donde se deben establecer las reglas según la wiki, aunque esto supongo que dependa del issue upgrade del servidor a 14.04.

[nukeador]

Al parecer había una opción bantime = -1 para baneos permanentes, esto junto a banaction = hostsdeny creo que nos servirá.

Muchas gracias por la info @pochy-ja :)