{"id":26482,"date":"2020-06-09T19:40:33","date_gmt":"2020-06-09T17:40:33","guid":{"rendered":"https:\/\/eltallerdelbit.com\/?p=26482"},"modified":"2020-12-18T09:35:48","modified_gmt":"2020-12-18T08:35:48","slug":"fail2ban-ssh","status":"publish","type":"post","link":"https:\/\/eltallerdelbit.com\/fail2ban-ssh\/","title":{"rendered":"Bloquear ataques SSH con Fail2ban e Iptables"},"content":{"rendered":"<h2>Vamos a ver c\u00f3mo protegernos y <strong>bloquear ataques de fuerza bruta por SSH<\/strong> en Linux, <strong>usando fail2ban<\/strong> e <strong>Iptables<\/strong>.<\/h2>\n<p>&nbsp;<\/p>\n<p>En ocasiones nos encontraremos con infinidad de accesos por ssh desde multitud de IP\u00b4s desconocidas que se encargan de intentar acceder a nuestros sistemas, normalmente con los usuarios por defecto conocidos para SSH; habitualmente en este tipo de <strong>ataques de fuerza bruta por ssh<\/strong> se usa mucho el usuario &#8220;<em>root<\/em>&#8220;, &#8220;<em>admin<\/em>&#8220;, &#8220;<em>oracle<\/em>&#8220;, y en el caso de la Raspberry Pi se usa el usuario &#8220;<em>pi<\/em>&#8220;.<br \/>\n&nbsp;<\/br><\/br><br \/>\nEstos ataques pueden tener consecuencias como las de un <strong>ataque DDoS<\/strong> (ataque de denegaci\u00f3n de servicio \/ Denial of Service), provocando que ciertos servicios dejen de funcionar por saturaci\u00f3n, adem\u00e1s de que se tratan de intentos de acceso no autorizados y debemos hacer algo por pararlos&#8230;<br \/>\n&nbsp;<\/p>\n<p>En este art\u00edculo:<\/p>\n<ul>\n<li><a href=\"#comprobar_ataque_ssh\">\u00bfC\u00f3mo podemos darnos cuenta de que estamos siendo el objetivo de un ataque SSH?<\/a><\/li>\n<\/ul>\n<ul>\n<li>\u00bfC\u00f3mo <a href=\"#bloquear_ataque_ssh\">bloquear los intentos de acceso por fuerza bruta a nuestro servidor SSH<\/a>?<\/li>\n<li><a href=\"#que_es_fail2ban\">\u00bfQu\u00e9 es fail2ban?<\/a><\/li>\n<p>&nbsp;<\/p>\n<li><a href=\"#instalar_fail2ban\">Instalar y configurar fail2ban<\/a> para proteger SSH\n<ul>\n<li><a href=\"#archivo_configuracion_fail2ban\">Copia del archivo de configuraci\u00f3n original |\u00a0 jail.conf &#8211;> jail.local<\/a><\/li>\n<li><a href=\"#jaula_filtro_ssh\">Habilitar la jaula para proteger SSH<\/a> en fail2ban \/ definir el filtro<\/li>\n<li>Definir la acci\u00f3n <a href=\"#banaction\">&#8220;<em>banaction<\/em>&#8220;<\/a><\/li>\n<li><a href=\"#bantime_maxretry\">Definir el n\u00famero de intentos y el tiempo de baneo<\/a><\/li>\n<li>Resumen: <a href=\"#configuracion_jaula_ssh\">Configuraci\u00f3n final de la jaula de baneo para SSH<\/a><\/li>\n<li>*<a href=\"#exclusiones\">EXCLUSIONES<\/a>*<\/li>\n<li><a href=\"#reiniciar_servicio\">Reiniciar el servicio<\/a><\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<ul>\n<li><a href=\"#iptables\">IPTABLES<\/a>\n<ul>\n<li><a href=\"#listar_reglas_iptables\">Comprobar que iptables est\u00e1 funcionando<\/a><\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<ul>\n<li>Extra: Configurar <a href=\"#baneos_permanentes_fail2ban\">baneos permanentes de fail2ban<\/a> con iptables<\/li>\n<\/ul>\n<ul>\n<li>Recuerda <a href=\"#hardening_ssh\">securizar SSH (Hardening SSH)<\/a><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3 id=\"comprobar_ataque_ssh\" style=\"text-align: center;\"><span style=\"text-decoration: underline;\">\u00bfC\u00f3mo podemos darnos cuenta de que estamos siendo el objetivo de un ataque SSH?<\/span><\/h3>\n<p>&nbsp;<\/p>\n<ul>\n<li>Si intentas acceder por SSH a tu servidor, y la terminal se queda &#8220;pensando&#8221; &#8230; usas el <a title=\"Modo de depuraci\u00f3n SSH | Debug\" href=\"\/modo-depuracion-ssh-debug\/\" target=\"_blank\" rel=\"noopener noreferrer\">modo debug SSH (\u00fatil para encontrar problemas en conexiones SSH)<\/a> y recibes el mensaje &#8220;<strong><em>pledge network<\/em><\/strong>&#8220;. Esto significa que tu servidor est\u00e1 un poco saturado, y que tienes archivos de log enormes .. desconf\u00eda y revisa.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p style=\"text-align: center;\">Aqu\u00ed vemos el <a href=\"https:\/\/serverfault.com\/questions\/792486\/ssh-connection-takes-forever-to-initiate-stuck-at-pledge-network\" target=\"_blank\" rel=\"noopener noreferrer\">mensaje &#8220;<em>Pledge Network<\/em>&#8221; al acceder en modo debug ssh<\/a> al servidor al que no podemos conectar por ssh:<\/p>\n<p><img decoding=\"async\" loading=\"lazy\" class=\"aligncenter size-full wp-image-26488\" src=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2020\/06\/ssh-pledge-network.jpg\" alt=\"ssh pledge network\" width=\"408\" height=\"125\" srcset=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2020\/06\/ssh-pledge-network.jpg 408w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2020\/06\/ssh-pledge-network-300x92.jpg 300w\" sizes=\"(max-width: 408px) 100vw, 408px\" \/><br \/>\n&nbsp;<\/p>\n<p>Esta info la sacamos de la conexi\u00f3n ssh, usando el modo debug, ya que en un principio, la conexion ssh iniciaba e intentaba terminar, pero ah\u00ed se queda la terminal, sin acabar de acceder ..<\/p>\n<p>solo cuando conectamos por ssh usando el modo de depuraci\u00f3n, podremos ver el mensaje anterior.<\/p>\n<p>&nbsp;<\/p>\n<ul>\n<li>Por casualidad, o como consecuencia de lo anterior, revisas el fichero &#8220;<em><strong>\/var\/log\/auth.log<\/strong><\/em>&#8221; o &#8220;<em>\/var\/log\/<strong>secure<\/strong><\/em>&#8221; en el caso de CentOS y RedHat y compruebas una cantidad enorme de accesos que han fallado la password, y adem\u00e1s de IP\u00b4s desconocidas .. el\u00a0 mensaje en estos casos es:\n<pre lang=\"javascript\">Failed password for root from ----------(IP)\u00a0 port 52410 ssh2<\/pre>\n<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p>Entonces es cuando nos vamos a revisar el fichero de registro &#8220;<em><strong>\/var\/log\/auth.log<\/strong><\/em>&#8221; y es donde vemos <strong>intentos de acceso por ssh denegados<\/strong> d\u00f3nde podemos comprobar que utilizan por defecto el usuario root se trata del t\u00edpico archivo el t\u00edpico ataque por fuerza bruta y que a la vez consiste o puede conllevar pues lo mismo que un ataque de denegaci\u00f3n de servicio ya que por tantas solicitudes de acceso repetidas el servidor acaba saturandose.<br \/>\n&nbsp;<\/p>\n<p><img decoding=\"async\" loading=\"lazy\" class=\"aligncenter size-full wp-image-26486\" src=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2020\/06\/registro-accesos-ataque-ssh-auth-log.jpg\" alt=\"registro de accesos ssh - \/fichero auth.log\" width=\"800\" height=\"615\" srcset=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2020\/06\/registro-accesos-ataque-ssh-auth-log.jpg 800w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2020\/06\/registro-accesos-ataque-ssh-auth-log-480x369.jpg 480w\" sizes=\"(min-width: 0px) and (max-width: 480px) 480px, (min-width: 481px) 800px, 100vw\" \/><br \/>\n&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3 id=\"bloquear_ataque_ssh\" style=\"text-align: center;\"><span style=\"text-decoration: underline;\">\u00bfC\u00f3mo <strong>bloquear ataques ssh<\/strong>?<\/span><\/h3>\n<p>&nbsp;<\/p>\n<p>Lo dicho, entonces est\u00e1bamos revisando los accesos en el fichero &#8220;\/var\/log\/auth.log&#8221; y nos damos cuenta de que estamos siendo v\u00edctimas de un ataque de fuerza bruta por SSH, as\u00ed que la soluci\u00f3n es <strong>instalar <em>fail2ban<\/em><\/strong> que se encargar\u00e1 de banear los accesos desde las IP\u00b4s que no paran de intentarlo a nuestro servidor (como se trata de botnets, tendremos cientos, miles de accesos a cada minuto).<\/p>\n<p>&nbsp;<\/p>\n<p style=\"text-align: center;\">El <strong>Comando &#8220;<em>last<\/em>&#8220;<\/strong>, nos muestra los ultimos accesos, por ssh. Vemos los usuarios utilizados por estos ataques y la IP desde la que se intenta acceder:<\/p>\n<p><img decoding=\"async\" loading=\"lazy\" class=\"aligncenter size-full wp-image-26487\" src=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2020\/06\/ssh-last-ultimos-accesos.jpg\" alt=\"comando last - ultimos accesos\" width=\"536\" height=\"800\" srcset=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2020\/06\/ssh-last-ultimos-accesos.jpg 536w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2020\/06\/ssh-last-ultimos-accesos-480x716.jpg 480w\" sizes=\"(min-width: 0px) and (max-width: 480px) 480px, (min-width: 481px) 536px, 100vw\" \/><br \/>\n&nbsp;<\/p>\n<pre lang=\"javascript\">\r\n<\/pre>\n<p>&nbsp;<br \/>\nlastb -a | more<br \/>\n&nbsp;<\/p>\n<h3 id=\"que_es_fail2ban\" style=\"text-align: center;\"><span style=\"text-decoration: underline;\">\u00bfQu\u00e9 es fail2ban?<\/span><\/h3>\n<p>&nbsp;<br \/>\nfail2ban es un software de Linux que permite bloquear ataques e intentos de acceso a diversos puertos y servicios conocidos; se puede modificar y adecuar para casos de puertos y servicios concretos. Uno de los mayores usos de fail2ban es en el bloqueo de ataques por SSH.<br \/>\n&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3 id=\"instalar_fail2ban\" style=\"text-align: center;\"><span style=\"text-decoration: underline;\"><strong>Fail2ban SSH<\/strong> | Instalar y configurar fail2ban para proteger SSH<\/span><\/h3>\n<p>&nbsp;<\/p>\n<ul>\n<li>Instalamos fail2ban:<\/li>\n<\/ul>\n<p>&#8211;&gt; En Debian\/Ubuntu:<\/p>\n<pre lang=\"javascript\">apt-get install fail2ban<\/pre>\n<p>&nbsp;<\/p>\n<p>&#8211;&gt; En CentOS:<\/p>\n<pre lang=\"javascript\">\r\nyum install epel-release\r\nyum install fail2ban fail2ban-systemd\r\n<\/pre>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h4 id=\"archivo_configuracion_fail2ban\" style=\"text-align: center;\"><span style=\"text-decoration: underline;\">Copia del archivo de configuraci\u00f3n original |\u00a0 jail.conf &#8211;>  jail.local<\/span><\/h4>\n<p>&nbsp;<\/p>\n<ul>\n<li>Ahora vamos a configurar fail2ban para activar una &#8220;jaula&#8221; de protecci\u00f3n para el servicio SSH:<\/li>\n<\/ul>\n<p>Lo primero, la configuraci\u00f3n inicial de fail2ban se encuentra en el fichero \/etc\/fail2ban\/jail.conf<\/p>\n<p>Hemos de hacer una copia del fichero y la llamaremos jail.local:<\/p>\n<pre lang=\"javascript\">\r\ncp -p \/etc\/fail2ban\/jail.conf \/etc\/fail2ban\/jail.local\r\n<\/pre>\n<p>&nbsp;<\/p>\n<p>El fichero de configuraci\u00f3n que usaremos ser\u00e1 jail.local.<br \/>\n&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h4 id=\"jaula_filtro_ssh\" style=\"text-align: center;\"><span style=\"text-decoration: underline;\">Habilitar la jaula para proteger SSH en fail2ban \/ definir el filtro<\/span><\/h4>\n<p>&nbsp;<\/p>\n<p>Comenzamos a configurar la jaula para ssh en fail2ban. Comenzamos a editar el fichero \/etc\/fail2ban\/jail.local y encontramos estas l\u00edneas acerca de SSH:<\/p>\n<pre lang=\"javascript\">\r\n#\r\n# SSH servers\r\n#\r\n\r\n[sshd]\r\n\r\nport = ssh\r\nlogpath = %(sshd_log)s\r\nbackend = %(sshd_backend)s\r\n<\/pre>\n<p>&nbsp;<\/p>\n<p style=\"text-align: center;\">Por ahora la jaula para SSH no est\u00e1 funcionando. Hemos de modificar la directiva y a\u00f1adir estas l\u00edneas:<\/p>\n<pre lang=\"javascript\">\r\nenabled = true\r\nfilter = sshd\r\n<\/pre>\n<p>&nbsp;<\/p>\n<p>De esta forma hemos habilitado la jaula ssh, y creado el filtro sshd, que le dice a fail2ban que ha de usar el fichero &#8220;<strong>\/etc\/fail2ban\/filter.d\/sshd.conf&#8221; para filtrar las conexiones al puerto ssh.<\/strong><br \/>\n&nbsp;<br \/>\nVemos que este fichero contempla varios tipos de mensajes sospechosos que podemos encontrar cuando ssh est\u00e1 siendo comprometido:<\/p>\n<p><img decoding=\"async\" loading=\"lazy\" class=\"aligncenter size-full wp-image-26497\" src=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2020\/06\/fail2ban-filterd-sshd-conf.jpg\" alt=\"\/fail2ban\/filter.d\" width=\"800\" height=\"326\" srcset=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2020\/06\/fail2ban-filterd-sshd-conf.jpg 800w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2020\/06\/fail2ban-filterd-sshd-conf-480x196.jpg 480w\" sizes=\"(min-width: 0px) and (max-width: 480px) 480px, (min-width: 481px) 800px, 100vw\" \/><\/p>\n<p>&nbsp;<\/p>\n<p style=\"text-align: center;\">Tambi\u00e9n podemos ver que en el directorio &#8220;<strong>\/etc\/fail2ban\/filter.d\/&#8221; podemos encontrar una gran multitud de filtros que nos servir\u00e1n para proteger otros servicios:<\/strong><\/p>\n<p><img decoding=\"async\" loading=\"lazy\" class=\"aligncenter size-full wp-image-26498\" src=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2020\/06\/filtros-fail2ban.jpg\" alt=\"filtros fail2ban\" width=\"640\" height=\"132\" srcset=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2020\/06\/filtros-fail2ban.jpg 640w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2020\/06\/filtros-fail2ban-480x99.jpg 480w\" sizes=\"(min-width: 0px) and (max-width: 480px) 480px, (min-width: 481px) 640px, 100vw\" \/><br \/>\n&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h4 id=\"banaction\" style=\"text-align: center;\"><span style=\"text-decoration: underline;\">Definir la acci\u00f3n &#8220;<em>banaction<\/em>&#8220;<\/span><\/h4>\n<p>&nbsp;<\/p>\n<p>Hemos de definir la acci\u00f3n que fail2ban realizar\u00e1 cuando se active para protegernos de una conexi\u00f3n SSH.<\/p>\n<p>La acci\u00f3n que definiremos ser\u00e1:<\/p>\n<p><strong>iptables-multiport<\/strong><br \/>\n&nbsp;<\/p>\n<p>La a\u00f1adimos a la directiva as\u00ed:<\/p>\n<pre lang=\"javascript\">banaction = iptables-multiport<\/pre>\n<p>Al igual que con los filtros, en el directorio \u00a0<strong>\/etc\/fail2ban\/action.d\/ podemos encontrar muchas otras acciones que podemos configurar en fail2ban.<\/strong><br \/>\n&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h4 id=\"bantime_maxretry\" style=\"text-align: center;\"><span style=\"text-decoration: underline;\">Definir el n\u00famero de intentos y el tiempo de baneo<\/span><\/h4>\n<p>&nbsp;<\/p>\n<p>Por defecto nos encontraremos algo as\u00ed:<\/p>\n<pre lang=\"javascript\">\r\nbantime = 3600\r\nmaxretry = 5\r\n<\/pre>\n<p>&nbsp;<\/p>\n<p>Pero vamos a ir un poco m\u00e1s all\u00e1 y vamos\u00a0 a ser m\u00e1s restrictivos.<\/p>\n<p>En lugar de permitir 5 intentos, permitiremos solamente 3 intentos.<\/p>\n<p>Y en lugar de banear durante 3600 segundos, crearemos un <strong>baneo permanente<\/strong>:<\/p>\n<pre lang=\"javascript\">\r\nmaxretry = 3\r\nbantime = -1\r\n<\/pre>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h4 id=\"configuracion_jaula_ssh\" style=\"text-align: center;\"><span style=\"text-decoration: underline;\">Resumen: Configuraci\u00f3n de la jaula de baneo para SSH<\/span><\/h4>\n<p>&nbsp;<br \/>\nEn resumen, tras estas explicacciones, nuestra jaula para SSH debe quedar as\u00ed:<\/p>\n<pre lang=\"javascript\">\r\n[sshd]\r\nenabled = true\r\nport = ssh,44624\r\nbanaction = iptables-multiport\r\nfilter = sshd\r\nlogpath = %(sshd_log)s\r\nbackend = %(sshd_backend)s\r\nmaxretry = 3\r\nbantime = -1\r\n<\/pre>\n<p>&nbsp;<br \/>\nImportante: podemos ver que en la l\u00ednea<\/p>\n<pre lang=\"javascript\">port = ssh,44624<\/pre>\n<p>adem\u00e1s de &#8220;<em><strong>port=ssh<\/strong><\/em>&#8220;, separado por una coma est\u00e1 el puerto que usamos para ssh.<br \/>\nSi cambiamos el puerto por defecto para nuestro servicio SSH (algo m\u00e1s que recomendable por cierto), hemos de configurarlo aqu\u00ed, para que fail2ban act\u00fae en los accesos a dicho puerto.<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h4 id=\"exclusiones\" style=\"text-align: center;\"><span style=\"text-decoration: underline;\">*EXCLUSIONES en fail2ban*<\/span><\/h4>\n<p>&nbsp;<\/p>\n<p>Muy importante que configuremos las exclusiones en fail2ban, para no bloquearnos a nosotros mismos.<\/p>\n<p>lo haremos buscando la directiva &#8220;<em><strong>ignoreip<\/strong><\/em>&#8220;. Por defecto encontraremos localhost, pero tambi\u00e9n podemos a\u00f1adir subredes enteras, o direcciones IP concretas. Separamos los valores con espacio o con una coma:<\/p>\n<pre lang=\"javascript\">ignoreip = 127.0.0.1\/8 192.168.0.0\/24<\/pre>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h4 id=\"reiniciar_servicio\" style=\"text-align: center;\"><span style=\"text-decoration: underline;\">Reiniciar el servicio<\/span><\/h4>\n<p>&nbsp;<br \/>\nYa tenemos configurado fail2ban, ahora reiniciamos el servicio:<\/p>\n<pre lang=\"javascript\">sudo service fail2ban restart<\/pre>\n<p>o<\/p>\n<pre lang=\"javascript\">systemctl restart fail2ban.service<\/pre>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3 id=\"iptables\" style=\"text-align: center;\"><span style=\"text-decoration: underline;\">IPTABLES<\/span><\/h3>\n<p>&nbsp;<\/p>\n<p><a href=\"https:\/\/www.linuxito.com\/seguridad\/793-tutorial-basico-de-iptables-en-linux\" target=\"_blank\" rel=\"noopener noreferrer\">Iptables<\/a> act\u00faa como firewall, ya que se encarga de crear reglas de filtrado de paquetes.<\/p>\n<p>Despu\u00e9s de instalar fail2ban nos aseguramos de tener instalado y activado Iptables.<br \/>\nInstalamos IPTABLES :<\/p>\n<p>&#8211;>  en Debian\/Ubuntu:<\/p>\n<pre lang=\"javascript\">sudo apt install iptables<\/pre>\n<p>&nbsp;<\/p>\n<p>&#8211;>  En CentOS:<\/p>\n<pre lang=\"javascript\">yum install iptables-services<\/pre>\n<p>&nbsp;<\/p>\n<p>Lo bueno de la uni\u00f3n de fail2ban e iptables es que trabajar\u00e1n juntos. Cuando fail2ban banee accesos por ssh, crear\u00e1 reglas en iptables que nos proteger\u00e1n de esos accesos.<br \/>\n&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h4 id=\"listar_reglas_iptables\" style=\"text-align: center;\"><span style=\"text-decoration: underline;\">Comprobando que iptables est\u00e1 funcionando<\/span><\/h4>\n<p>&nbsp;<br \/>\nBueno, despu\u00e9s de todo esto, hemos activado fail2ban e iptables,<\/p>\n<p>y vamos a ver qu\u00e9 reglas est\u00e1 habilitando Iptables, seg\u00fan los accesos incorrectos que est\u00e1 detectando.<br \/>\n&nbsp;<br \/>\nListamos las reglas creadas por iptables:<\/p>\n<pre lang=\"javascript\">iptables -L<\/pre>\n<p><img decoding=\"async\" loading=\"lazy\" class=\"aligncenter size-full wp-image-26489\" src=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2020\/06\/iptables-direcciones-bloqueadas.jpg\" alt=\"iptables direcciones bloqueadas\" width=\"794\" height=\"800\" srcset=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2020\/06\/iptables-direcciones-bloqueadas.jpg 794w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2020\/06\/iptables-direcciones-bloqueadas-480x484.jpg 480w\" sizes=\"(min-width: 0px) and (max-width: 480px) 480px, (min-width: 481px) 794px, 100vw\" \/><\/p>\n<p>&nbsp;<\/p>\n<p>Como podemos ver, en un momento se nos ha llenado la lista con un mont\u00f3n de reglas para rechazar el acceso desde ciertas IP\u00b4s, que est\u00e1n intentando compulsivamente hacer login ssh.<br \/>\n&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3 id=\"baneos_permanentes_fail2ban\" style=\"text-align: center;\"><span style=\"text-decoration: underline;\"><a href=\"https:\/\/arno0x0x.wordpress.com\/2015\/12\/30\/fail2ban-permanent-persistent-bans\/\" target=\"_blank\" rel=\"noopener noreferrer\">Extra: <span style=\"color: #3366ff;\">Configurar baneos permanentes de fail2ban con iptables<\/span><\/a><\/span><\/h3>\n<p>&nbsp;<\/p>\n<p>En este caso, como sabemos que somos el objetivo de un ataque ssh de fuerza bruta, vamos a configurar un bloqueo permanente de todas las IP\u00b4s atacantes con fail2ban, porque sino, a cada reinicio del servidor, perderemos las reglas de bloqueo creadas anteriormente. Lo que vamos a hacer es que se cree un fichero de baneos permanentes que llamaremos &#8220;persistent.bans&#8221;, y con cada baneo que fail2ban cree, se a\u00f1adir\u00e1 ah\u00ed la ip de forma permanente.<br \/>\n&nbsp;<\/p>\n<p>Lo lograremos a\u00f1adiendo lo siguiente en el fichero de acciones de fail2ban:<\/p>\n<p>en el fichero &#8220;<strong>\/etc\/fail2ban\/action.d\/iptables-multiport.conf&#8221;<\/strong><\/p>\n<p>debajo de<\/p>\n<pre lang=\"javascript\">\r\nactionstart = iptables -N fail2ban-<name>\r\n              iptables -A fail2ban-<name> -j RETURN\r\n              iptables -I <chain> -p <protocol> -m multiport --dports <port> -j fail2ban-<name>\r\n<\/pre>\n<p>&nbsp;<\/p>\n<p>Pondremos:<\/p>\n<pre lang=\"javascript\">\r\n cat \/etc\/fail2ban\/persistent.bans | awk '\/^fail2ban-<name>\/ {print $2}' \\\r\n          | while read IP; do iptables -I fail2ban-<name> 1 -s $IP -j <blocktype>; done\r\n<\/pre>\n<p>&nbsp;<\/p>\n<p>y al final,<\/p>\n<p>debajo de &#8220;<em>actionban<\/em>&#8220;:<\/p>\n<pre lang=\"javascript\">\r\nactionban = iptables -I fail2ban-<name> 1 -s <ip> -j <blocktype>\r\n<\/pre>\n<p>&nbsp;<\/p>\n<p>pondremos:<\/p>\n<pre lang=\"javascript\">\r\n        echo \"fail2ban-<name> <ip>\" >> \/etc\/fail2ban\/persistent.bans\r\n<\/pre>\n<p>&nbsp;<\/p>\n<p>O sea que tenemos que dejar el fichero \u00bb \/etc\/fail2ban\/action.d\/iptables-multiport.conf \u00bb as\u00ed:<\/p>\n<p><img decoding=\"async\" loading=\"lazy\" class=\"aligncenter size-full wp-image-26500\" src=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2020\/06\/fail2ban-iptables-baneo-permanente.jpg\" alt=\"fail2ban iptables baneo permanente\" width=\"800\" height=\"805\" srcset=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2020\/06\/fail2ban-iptables-baneo-permanente.jpg 800w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2020\/06\/fail2ban-iptables-baneo-permanente-480x483.jpg 480w\" sizes=\"(min-width: 0px) and (max-width: 480px) 480px, (min-width: 481px) 800px, 100vw\" \/><\/p>\n<p>Y reiniciamos el servicio fail2ban.<\/p>\n<p>&nbsp;<\/p>\n<p>Ahora podemos revisar el fichero de baneos permanentes \/etc\/fail2ban\/persistent.bans :<br \/>\ny veremos la cantidad de IP\u00b4s que se est\u00e1n a\u00f1adiendo en dicho fichero (claramente no es casualidad, sino que estamos siendo objeto de un ataque ssh):<\/p>\n<p><img decoding=\"async\" loading=\"lazy\" class=\"aligncenter size-full wp-image-26490\" src=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2020\/06\/fail2ban-baneos-permanentes.jpg\" alt=\"fail2ban baneos permanentes\" width=\"452\" height=\"640\" srcset=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2020\/06\/fail2ban-baneos-permanentes.jpg 452w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2020\/06\/fail2ban-baneos-permanentes-212x300.jpg 212w\" sizes=\"(max-width: 452px) 100vw, 452px\" \/><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3 id=\"hardening_ssh\" style=\"text-align: center;\"><span style=\"text-decoration: underline;\">Recuerda <span style=\"color: #3366ff;\"><a style=\"color: #3366ff; text-decoration: underline;\" href=\"\/open-ssh-server-linux\/\" target=\"_blank\" rel=\"noopener noreferrer\">securizar SSH<\/a><\/span> (Hardening SSH)<\/span><\/h3>\n<p>&nbsp;<\/p>\n<p>Otro aspecto bastante importante es el de securizar nuestro servidor SSH (Hardening SSH). Digamos que es el paso previo , y las configuraciones m\u00e1s b\u00e1sicas, que deber\u00edamos revisar, son:<\/p>\n<ul>\n<li>Cambiar el puerto por defecto<\/li>\n<li>Cambiar el nombre del usuario por defecto del sistema<\/li>\n<li>No permitir el acceso ssh al usuario root<\/li>\n<li>Permitir el acceso ssh solo por clave p\u00fablica<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n\n<div style=\"font-size: 0px; height: 0px; line-height: 0px; margin: 0; padding: 0; clear: both;\"><\/div>","protected":false},"excerpt":{"rendered":"<p>Vamos a ver c\u00f3mo protegernos y bloquear ataques de fuerza bruta por SSH en Linux, usando fail2ban e Iptables, actuando como firewall contra ataques DOS.<\/p>\n","protected":false},"author":1,"featured_media":26489,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false},"categories":[1268],"tags":[1093,1119],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/posts\/26482"}],"collection":[{"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/comments?post=26482"}],"version-history":[{"count":2,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/posts\/26482\/revisions"}],"predecessor-version":[{"id":30611,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/posts\/26482\/revisions\/30611"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/media\/26489"}],"wp:attachment":[{"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/media?parent=26482"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/categories?post=26482"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/tags?post=26482"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}