Re: fail2ban
Ciao Paride Il giorno mar, 25/07/2023 alle 13.48 +, Paride Desimone ha scritto: > Qualcuno che usa file2ban? Mi occorrerebbe una mano sulla configurazione > del ban (ipv6 ed ipv4) dopo tre tentativi sbagliati di login su http ed > https, porte 80 e 443. > Quesato è quello che dobrei bannare dopo tre tentativi errati: > > 2023-07-25 14:21:47 ERROR logapache [16387]: [:::10.10.253.22] > Failed authentication for user u'pippo' Il fail2ban richiede di impostare alcuni parametri aggiuntivi: non credo si possa bloccare un IP genericamente dopo 3 tentativi, si deve difatti dire in quanto tempo questi tentativi vanno fatti. Inoltre dovresti impostare il periodo di tempo, successivo al blocco, per riabilitare l'IP. Il tempo totale nel quale vengono contati i tentativi è il parametro findtime, la durata del blocco è il parametro bantime, il numero di tentativi è maxretry. Tutti questi parametri dovresti metterli in un file «jail». Dovresti creare anche un file «filter» nel quale mettere l'espressione regolare per rintracciare la riga che ti interessa all'interno del log. Il manuale su jail.conf ne spiega i dettagli. Ciao, Giuseppe
Re: fail2ban
Mandi! Paride Desimone In chel di` si favelave... > Mi serve che dopo tre tentativi di log errati "ERROR logapache..." banni > l'ip associato. Ma le regole di base di fail2ban fornite con il pacchetto debian non ti bastano? Magari aggiungendo solo un .local per cambiare il numero di tentativi?! -- Il voto e` l'orgasmo della democrazia (Marco Pio Bravo)
Re: fail2ban
Il mer 26 lug 2023, 09:30 Paride Desimone ha scritto: Ciao Paride, provo a risponderti con la premessa che non sono risposte "assertive", bensì "dubbiose". In ogni caso ho attinto da fail2ban.org/manual. Il 25-07-2023 15:10 Giuliano Curti ha scritto: > > Il mar 25 lug 2023, 15:48 Paride Desimone ha > > scritto: > > > > . > > > > Se precisi meglio il tuo dubbio diventa più facile risolvere :-) > > > > Mi serve che dopo tre tentativi di log errati "ERROR logapache..." banni > l'ip associato. Il numero di tentativi dovrebbe essere controllato dal parametro maxretray, quindi nel tuo caso dovrebbbe essere maxretray = 3. Mi sembra (ma questa è più una domanda che risposta) funzioni in sincrono con findtime, cioè se vengono superati "maxretray" nel periodo "findtime"; nel tuo caso dovresti mettere un findtine molto alto, tipo findtine = 86400 (1 giorno) o forse omettere del tutto il parametro findtime; leggendo un articolo in rete mi è venuto questo dubbio. Volendo agire su Apache penso devi semplicemente attivare la/a jail già predisposta/e, cmq in rete (ad es. DigitalOcean.org/How To Protect an Apache Server", per quanto vecchio, o xmodulo.com/How to configure fail2ban to protect Apache HTTP server) trovi esempi di configurazione; peraltro ho visto che le protezioni con Apache sono molteplici. > > /paride > Spero ti sia di aiuto, ciao, Giuliano
Re: fail2ban
Il 25-07-2023 15:10 Giuliano Curti ha scritto: Il mar 25 lug 2023, 15:48 Paride Desimone ha scritto: Ciao Paride, Qualcuno che usa file2ban? Mi occorrerebbe una mano sulla configurazione del ban (ipv6 ed ipv4) dopo tre tentativi sbagliati di login su http ed https, porte 80 e 443. Quesato è quello che dobrei bannare dopo tre tentativi errati: 2023-07-25 14:21:47 ERROR logapache [16387]: [:::10.10.253.22] Failed authentication for user u'pippo' L'avevo usato tempo fa per un'applicazione casalinga (non sono un amministratore di rete). Quello che dici tu dovrebbe farlo automaticamente; mi sembra di ricordare che tu possa settare la soglia (quanti tentativi in quanto tempo) e la durata dell'espulsione, ma sto andando un po' a tentoni. Se precisi meglio il tuo dubbio diventa più facile risolvere :-) Mi serve che dopo tre tentativi di log errati "ERROR logapache..." banni l'ip associato. /paride Ciao, Giuliano -- https://keyserver.gnupg.org/pks/lookup?op=get&search=0xf14cd648d16d33c82a7d2ac778c59a24690431d3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755)
Re: fail2ban
Il mar 25 lug 2023, 15:48 Paride Desimone ha scritto: Ciao Paride, Qualcuno che usa file2ban? Mi occorrerebbe una mano sulla configurazione > del ban (ipv6 ed ipv4) dopo tre tentativi sbagliati di login su http ed > https, porte 80 e 443. > Quesato è quello che dobrei bannare dopo tre tentativi errati: > > 2023-07-25 14:21:47 ERROR logapache [16387]: [:::10.10.253.22] > Failed authentication for user u'pippo' > L'avevo usato tempo fa per un'applicazione casalinga (non sono un amministratore di rete). Quello che dici tu dovrebbe farlo automaticamente; mi sembra di ricordare che tu possa settare la soglia (quanti tentativi in quanto tempo) e la durata dell'espulsione, ma sto andando un po' a tentoni. Se precisi meglio il tuo dubbio diventa più facile risolvere :-) /paride > Ciao, Giuliano
Re: fail2ban
Paride Desimone writes: > Qualcuno che usa file2ban? Mi occorrerebbe una mano sulla configurazione del > ban > (ipv6 ed ipv4) dopo tre tentativi sbagliati di login su http ed https, porte > 80 > e 443. > Quesato è quello che dobrei bannare dopo tre tentativi errati: > > 2023-07-25 14:21:47 ERROR logapache [16387]: [:::10.10.253.22] Failed > authentication for user u'pippo' Io per nginx ho in /etc/fail2ban/jail.conf quest righe [nginx-http-auth] port= http,https logpath = %(nginx_error_log)s [nginx-limit-req] port= http,https logpath = %(nginx_error_log)s [nginx-botsearch] port = http,https logpath = %(nginx_error_log)s maxretry = 2 E la cosa pare funzionare. -- Ciao leandro
fail2ban
Qualcuno che usa file2ban? Mi occorrerebbe una mano sulla configurazione del ban (ipv6 ed ipv4) dopo tre tentativi sbagliati di login su http ed https, porte 80 e 443. Quesato è quello che dobrei bannare dopo tre tentativi errati: 2023-07-25 14:21:47 ERROR logapache [16387]: [:::10.10.253.22] Failed authentication for user u'pippo' /paride -- https://keyserver.gnupg.org/pks/lookup?op=get&search=0xf14cd648d16d33c82a7d2ac778c59a24690431d3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755)
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il dom 17 ott 2021, 00:04 Paride Desimone ha scritto: Ciao Paride, grazie del suggerimento; Il 05-10-2021 10:23 Giuliano Curti ha scritto: > > Il lun 4 ott 2021, 22:04 Mauro ha scritto: > > > >> . > > > > Riassumo, senza ripetere, le domande che avevo posto: > > 1) la disabilitazione dell'accesso per password rende SSH > > . > > Te la butto lì. E se a ssh ci affiancassi una VPN? > Francamente era l'idea di partenza, ma la rete per me è un terreno sconosciuto ed ogni passo in più è terribilmente faticoso. Dovrei aver chiuso SSH accettando solo connessioni con chiave; ho messo fail2ban a guardia con le regole di default su SSHD e con una regola autocostruita per MOTION che mi dovrebbero tenere al riparo da attacchi brute force. Al momento ho rinunciato ad attivare OpenSSL perché l'impressione che ho avuto è che MOTION se ne serve solo per autenticare il server, non il client (studierò il reverse proxy tramite apache/nginxcome suggerito da qualcuno). Se non ci sono problemi particolarmente critici sperimenterei così, senza disdegnare ovviamente miglioramenti futuri quando avrò una maggiore padronanza della rete. Paride Grazie, ciao, Giuliano >
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il 05-10-2021 10:23 Giuliano Curti ha scritto: Il lun 4 ott 2021, 22:04 Mauro ha scritto: . Riassumo, senza ripetere, le domande che avevo posto: 1) la disabilitazione dell'accesso per password rende SSH ragionevolmente sicuro? 2) l'uso di SSL/TLS rende ragionevolmente sicura la connessione alle porte di pmotion e telecamerep? con "ragionevolmente sicuro" intendo che possa fare a meno di fail2ban-) Te la butto lì. E se a ssh ci affiancassi una VPN? Paride -- http://keys.gnupg.net/pks/lookup?op=get&search=0xCC6CA35C690431D3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755)
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
..oopss sul primo punto mi rispondo da solo Il ven 8 ott 2021, 23:11 Giuliano Curti ha scritto: > ... > > On 10/6/21, Diego Zuccato wrote: > > Il 06/10/2021 11:16, Giuliano Curti ha scritto: > > > > ho fatto una prova (in locale) e sembra funzionare, solo però per la porta > del webcontrol di motion, non riesco a reindirizzare le porte delle > telecamere, ammesso sia possibile; > ho visto che nella stessa istruzione si possono reindirizzare più porte; vedrò se questo risolve il problema. Chiedo scusa dell'inutile disturbo, grazie, saluti, Giuliano
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Ciao a tutti,
scusate se riprendo questo discorso, ma nel mio faticoso viaggio nelle reti
ogni tanto mi imbatto in qualche ostacolo ostico;
ho deciso di sperimentare, prima di approcciare il reverse proxy, il
tunneling SSH, come suggerito da
On 10/6/21, Diego Zuccato wrote:
> Il 06/10/2021 11:16, Giuliano Curti ha scritto:
>
> ...
>
> . Inizia quindi pensando a cosa ti serve fare e a quanto
> vuoi che sia comodo. P.e. se devi solo poter accedere *tu* da remoto
> alle telecamere, ti conviene esporre solo il servizio SSH. Quando vuoi
> vedere qualcosa, ti colleghi via SSH (che ti autentica con la tua
> chiave) e apri un tunnel ("-L localport:remotehost:remoteport") per
> poter accedere a remotehost:remoteport collegandoti a localhost:localport.
> Non è il massimo della comodità, però un malintenzionato dovrebbe poter
> bucare ssh, che è molto più blindato (credo e spero :) ) di ogni altro
> servizio che si possa far girare...
ho fatto una prova (in locale) e sembra funzionare, solo però per la porta
del webcontrol di motion, non riesco a reindirizzare le porte delle
telecamere, ammesso sia possibile;
ho provato anche a reindirizzare le porte delle una camere una alla volta,
ma purtroppo qui il metodo fallisce, non riesco a visualizzare lo stream
della camera: non capisco quale sia la differenza che rende possibile uno e
impossibile l'altro.
Ho fatto anche un altro esperimento: ho fatto l'X forwarding e riesco a
lanciare il browser di rPi4 e vedo tutto (finora ho sperimentato in
locale); per metterlo a regime dovrò installare un X server su Android e
iOS; pensate sia una soluzione praticabile? Avete suggerimenti su Xserver
da installare nei due casi?
O forse è meglio che mi oriento subito sul reverse proxy che suggeriva
qualcuno?
spero di aver formulato con chiarezza contesto e quesiti; grazie
dell'attenzione, saluti,
giuliano
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il 08/10/21 09:31, Diego Zuccato ha scritto: Neanche io ho mai fatto particolari modifiche, se non le poche necessarie per l'installazione di ISPConfig. Un problema che può essere grosso col setup di default è se si deve dare accesso ad un server "pubblico" da un laboratorio nattato. Se ci sono diversi utenti correttamente collegati e qualche studente ritardatario sbaglia la pass (anche se non è sempre lo stesso), vengono tutti butati fuori. E se non si pensa al NAT si perdono ore a cercare un problema inesistente. Chissà come l'ho scoperto... :) Capisco il problema ma diciamo che sia un caso moolto particolare; certo lui banna l'ip e se molti utenti accedono con lo stesso ip basta che venga bannato uno perché siano bannati tutti... è coerente. Comunque grazie Diego per aver chiarito e ribadisco che fail2ban sia un bel progetto, semplice ed efficace. Un saluto Piviul
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Neanche io ho mai fatto particolari modifiche, se non le poche necessarie per l'installazione di ISPConfig. Un problema che può essere grosso col setup di default è se si deve dare accesso ad un server "pubblico" da un laboratorio nattato. Se ci sono diversi utenti correttamente collegati e qualche studente ritardatario sbaglia la pass (anche se non è sempre lo stesso), vengono tutti butati fuori. E se non si pensa al NAT si perdono ore a cercare un problema inesistente. Chissà come l'ho scoperto... :) Il 07/10/2021 20:42, Piviul ha scritto: Il 04/10/21 22:04, Mauro ha scritto: non esattamente. Fail2ban si presenta con una sfilza di filtri da paura, ma poi va tarato per le proprie necessita', altrimenti garantisco che le rogne sono superiori ai benefici. io l'ho sempre usato e non ho mai toccato nulla se non creato alcune jail per servizi non gestiti da fail2ban e non ho mai avuto alcun minimo problema. Certo, se uno sbaglia la password per non ricordo quante volte (3/5?) viene bannato per un certo numero di minuti (5/10?) che aumentano mano a mano che vengono aumentati i fails log. Ad esser sincero non vedo nemmeno quali rogne si debbano incontrare... Piviul -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il 07/10/21 20:48, Davide Prina ha scritto: dipende da cosa intendi per esporre # netstat -putan mi dice che non c'è nulla in ascolto su quella porta Se faccio partire sshd # systemctl start ssh poi la c'è sshd in ascolto sulla porta 22 Ma comunque non doveva indicarmi anche quali IP aveva bloccato? Invece non c'è nessun IP con il comando: # fail2ban-client status sshd esposto intendo se la porta 22 è raggiungibile da Internet. Se non è raggiungibile ovviamente non ci possono nemmeno essere tentativi di accesso e ip bloccati... a meno di avere qualcuno in LAN di poco affidabile... Piviul
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il 04/10/21 22:04, Mauro ha scritto: non esattamente. Fail2ban si presenta con una sfilza di filtri da paura, ma poi va tarato per le proprie necessita', altrimenti garantisco che le rogne sono superiori ai benefici. io l'ho sempre usato e non ho mai toccato nulla se non creato alcune jail per servizi non gestiti da fail2ban e non ho mai avuto alcun minimo problema. Certo, se uno sbaglia la password per non ricordo quante volte (3/5?) viene bannato per un certo numero di minuti (5/10?) che aumentano mano a mano che vengono aumentati i fails log. Ad esser sincero non vedo nemmeno quali rogne si debbano incontrare... Piviul
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
On 07/10/21 20:36, Piviul wrote: Il 07/10/21 20:10, Davide Prina ha scritto: [...] ma in /var/log/auth.log non vi è neanche una riga relativa ad un accesso ssh alla macchina... ma il pc espone la porta 22 in internet? dipende da cosa intendi per esporre # netstat -putan mi dice che non c'è nulla in ascolto su quella porta Se faccio partire sshd # systemctl start ssh poi la c'è sshd in ascolto sulla porta 22 Ma comunque non doveva indicarmi anche quali IP aveva bloccato? Invece non c'è nessun IP con il comando: # fail2ban-client status sshd Ciao Davide -- Esci dall'illegalità: utilizza LibreOffice/OpenOffice: http://linguistico.sf.net/wiki/doku.php?id=usaooo Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il 07/10/21 20:10, Davide Prina ha scritto: [...] ma in /var/log/auth.log non vi è neanche una riga relativa ad un accesso ssh alla macchina... ma il pc espone la porta 22 in internet? Piviul
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
On 04/10/21 22:04, Mauro wrote:
On 04/10/21 21:37, Davide Prina wrote:
ma file2ban dovrebbe essere sufficiente installarlo
non esattamente. Fail2ban si presenta con una sfilza di filtri da paura,
ma poi va tarato per le proprie necessita', altrimenti garantisco che le
rogne sono superiori ai benefici.
io lo sto usando su PC ad uso desktop, per ora non ho notato problemi, o
per lo meno, non mi sono accorto che eventuali problematiche avute erano
causa sua. Per questo avevo detto così...
guardando ora (ho guardato il man/l'help in questo momento)
$ zgrep Jail /var/log/fail2ban.log*
[...]
[...] fail2ban.jail [762]: INFOJail 'sshd' uses pyinotify {}
[...] fail2ban.jail [762]: INFOJail 'sshd' started
[...] fail2ban.jail [762]: INFOJail 'sshd' stopped
[...]
se interpreto correttamente sembra che mi metta costantemente in jail sshd
Strano perché io mi ricordavo di averlo disabilitato, in modo da averlo
installato e poterlo avviare alla bisogna.
Infatti
$ systemctl status ssh
mi dice che è disabilitato
# fail2ban-client status
Status
|- Number of jail: 1
`- Jail list: sshd
# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
| |- Currently failed: 0
| |- Total failed: 0
| `- File list:/var/log/auth.log
`- Actions
|- Currently banned: 0
|- Total banned: 0
`- Banned IP list:
ma in /var/log/auth.log non vi è neanche una riga relativa ad un accesso
ssh alla macchina...
Ma i comandi che ho dato sono corretti per verificare ciò che è stato
messo in ban?
Appena posso proverò a guardare l'altro PC su cui l'ho installato
Ciao
Davide
--
Database: http://www.postgresql.org
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il gio 7 ott 2021, 08:16 MAURIZI Lorenzo ha scritto: > ... > > È proprio l'autenticazione del client che mi interessa; non hai qualche > hint per poter indirizzare in modo produttivo la mia lettura? > > > > Su questo punto non sono molto preparato, non mi è mai capitato di dover > implementare una autenticazione del genere. > > Però qui, secondo me, esce anche un’altra questione: l’autenticazione deve > anche arrivare all’applicazione, in modo da rilevare chi è che si collega e > dare le giuste autorizzazioni a quel tale utente. > .. > > si mette davanti a Motion un server web (Apache, nginx) che fa da reverse > proxy, si configura per fare autenticazione con certificato, poi viene > presentata l’autenticazione di motion e lì si dovrà fare un altro login con > user e password. > ..azz... L'affare si complica; verrebbe da dire "piatto ricco, mi ci ficco", ma non sono un pockerista 😥 Questa potrebbe essere una guida per configurare l’autenticazione SSL in > Apache: > http://www.stefanocapitanio.com/configuring-two-way-authentication-ssl-with-apache/ > > Oppure per nginx: > https://www.ssltrust.com.au/help/setup-guides/client-certificate-authentication > > Ciao da Lorenzo > Grazie infinite Lorenzo; appena in grado seguirò le tue indicazioni, ciao, Giuliano >
R: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Ciao Lorenzo, grazie; ... • Autenticazione del client più crittografia della comunicazione con il server web . Spero di aver risposto al tuo dubbio e di non avere detto inesattezze e/o cose inutili, o già note, il che significherebbe che non ho capito la domanda :-P È proprio l'autenticazione del client che mi interessa; non hai qualche hint per poter indirizzare in modo produttivo la mia lettura? Su questo punto non sono molto preparato, non mi è mai capitato di dover implementare una autenticazione del genere. Però qui, secondo me, esce anche un’altra questione: l’autenticazione deve anche arrivare all’applicazione, in modo da rilevare chi è che si collega e dare le giuste autorizzazioni a quel tale utente. Quindi significa che l’autenticazione basata su certificati deve essere supportata anche dall’applicazione. Se Motion supporta solo l’autenticazione tramite user e password, lo scenario potrebbe essere: si mette davanti a Motion un server web (Apache, nginx) che fa da reverse proxy, si configura per fare autenticazione con certificato, poi viene presentata l’autenticazione di motion e lì si dovrà fare un altro login con user e password. Questa potrebbe essere una guida per configurare l’autenticazione SSL in Apache: http://www.stefanocapitanio.com/configuring-two-way-authentication-ssl-with-apache/ Oppure per nginx: https://www.ssltrust.com.au/help/setup-guides/client-certificate-authentication Ciao da Lorenzo
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il mer 6 ott 2021, 13:29 Diego Zuccato ha scritto:
Ciao Diego, grazie;
Il 06/10/2021 11:16, Giuliano Curti ha scritto:
>
> ...
> > user:passwd o con TLS.
> Opinione personale: lascia perdere user+pass e punta solo su TLS.
>
Bene, terrò presente.
Aggiungo, correggendo quando detto prima, che MOTION consente anche
l'autenticazione MD5 Digest;
> . fosse così
> > lascerei perdere perché non è questo il mio obbiettivo e un
> > malintenzionato non sarebbe assolutamente interessato a sapere se il mio
> > server è autenticato o meno.
> Dipende cosa intendi per sicurezza. SSL cripta le connessioni, permette
> di garantire che le parti sono chi dicono di essere e che i pacchetti
> non sono stati alterati in transito.
>
Penso sia la prima parte che mi interessa: la garanzia che le parti, in
particolare il client, sono chi dicono di essere mi dovrebbe mettere al
sicuro da malintenzionati; mi sembra quello che diceva Lorenzo, devo capire
dove approfondire;
Chiaramente, se esponi un servizio insicuro (p.e. che permette
> esecuzione di codice arbitrario da parte di un utente non autenticato)
> questo rimarrà insicuro.
>
Questi lo capisco, ma questo dipende dalla qualità dell'applicativo
(MOTION); io temo di poter fare poco;
. Inizia quindi pensando a cosa ti serve fare e a quanto
> vuoi che sia comodo. P.e. se devi solo poter accedere *tu* da remoto
> alle telecamere, ti conviene esporre solo il servizio SSH. Quando vuoi
> vedere qualcosa, ti colleghi via SSH (che ti autentica con la tua
> chiave) e apri un tunnel ("-L localport:remotehost:remoteport") per
> poter accedere a remotehost:remoteport collegandoti a localhost:localport.
> Non è il massimo della comodità, però un malintenzionato dovrebbe poter
> bucare ssh, che è molto più blindato (credo e spero :) ) di ogni altro
> servizio che si possa far girare...
>
Grazie di questa indicazione; non la conosco, cercherò di approfondire.
Intanto ho disabilitato la connessione con password;
Diego Zuccato
Grazie, ciao,
Giuliano
>
>
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il mer 6 ott 2021, 12:05 MAURIZI Lorenzo ha scritto: Ciao Lorenzo, grazie; ... · Autenticazione del client più crittografia della comunicazione con il server web . Spero di aver risposto al tuo dubbio e di non avere detto inesattezze e/o cose inutili, o già note, il che significherebbe che non ho capito la domanda :-P È proprio l'autenticazione del client che mi interessa; non hai qualche hint per poter indirizzare in modo produttivo la mia lettura? Grazie infinite, ciao, Giuliano
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il 06/10/2021 11:16, Giuliano Curti ha scritto:
Arrivo solo ora, ma spero di poter essere utile.
L'autenticazione può essere fatta in due modi: o con la copia
user:passwd o con TLS.
Opinione personale: lascia perdere user+pass e punta solo su TLS.
Approfitto per una domanda su openSSL che era il mio oggetto di studio
attuale; dal poco che ho letto ho il dubbio che openSSL miri a garantire
l'autenticità del server, non alla sicurezza del sistema; fosse così
lascerei perdere perché non è questo il mio obbiettivo e un
malintenzionato non sarebbe assolutamente interessato a sapere se il mio
server è autenticato o meno.
Dipende cosa intendi per sicurezza. SSL cripta le connessioni, permette
di garantire che le parti sono chi dicono di essere e che i pacchetti
non sono stati alterati in transito.
Chiaramente, se esponi un servizio insicuro (p.e. che permette
esecuzione di codice arbitrario da parte di un utente non autenticato)
questo rimarrà insicuro.
Se invece l'unica vulnerabilità (nota) del servizio è relativa al
passaggio delle credenziali o alla possibilità che qualcuno modifichi i
dati in transito, allora SSL ti aiuta molto.
Sono cresciuto con il "personal" computer, nel vero senso della parola;
ora mi trovo spaesato con le reti, che non conosco, e soprattutto la
sicurezza;
Sei in ottima compagnia :)
tutto il thread è la traccia del mio tentativo di risalire la china.
I miei dati, immagini e foto di una casa di campagna non sono
importanti, quindi sono poco interessato a soluzioni di crittografia del
traffico; sono piuttosto interessato a far si che il mio sistema non
possa essere utilizzato per attività malevole da terzi.
Una possibilità, molto drastica ma sicura, è non esporre nulla: tieni il
sistema isolato e non sarà utile per attività malevole. Ma probabilmente
neppure a te... Inizia quindi pensando a cosa ti serve fare e a quanto
vuoi che sia comodo. P.e. se devi solo poter accedere *tu* da remoto
alle telecamere, ti conviene esporre solo il servizio SSH. Quando vuoi
vedere qualcosa, ti colleghi via SSH (che ti autentica con la tua
chiave) e apri un tunnel ("-L localport:remotehost:remoteport") per
poter accedere a remotehost:remoteport collegandoti a localhost:localport.
Non è il massimo della comodità, però un malintenzionato dovrebbe poter
bucare ssh, che è molto più blindato (credo e spero :) ) di ogni altro
servizio che si possa far girare...
--
Diego Zuccato
DIFA - Dip. di Fisica e Astronomia
Servizi Informatici
Alma Mater Studiorum - Università di Bologna
V.le Berti-Pichat 6/2 - 40127 Bologna - Italy
tel.: +39 051 20 95786
R: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Approfitto per una domanda su openSSL che era il mio oggetto di studio attuale; dal poco che ho letto ho il dubbio che openSSL miri a garantire l'autenticità del server, non alla sicurezza del sistema; fosse così lascerei perdere perché non è questo il mio obbiettivo e un malintenzionato non sarebbe assolutamente interessato a sapere se il mio server è autenticato o meno. In teoria SSL/TLS over http (quindi HTTPS) può essere usato in due modi: · Solo crittografia della comunicazione tra client e server web · Autenticazione del client più crittografia della comunicazione con il server web Per evitare che regni l’anarchia, i certificati “ufficiali” sono rilasciati da delle autorità di certificazione note e inserite nel “truststore” dei browser web. Questo per evitare che chiunque, con openssl, possa creare un certificato fasullo di un sito noto e lo usi per truffare la gente (ad esempio con DNS poisoning). Quindi sì, oltre alla crittografia il certificato SSL, rilasciato da una Certification Authority nota e “trustata”, garantisce che il server è chi dice di essere. Nulla vieta, comunque, per cose fatte in casa, di autogenerarsi un certificato con OpenSSL e inserirlo nella configurazione del webserver (vedi il certificato snakeoil presente in Debian). Avrai dei warning da parte del browser di certificato rilasciato da fonte non autorevole, che ignorerai bellamente. Al limite puoi “trustare” nel tuo browser la Certification Authority casalinga che rilascia il certificato autogenerato, evitando il warning di sicurezza. Spero di aver risposto al tuo dubbio e di non avere detto inesattezze e/o cose inutili, o già note, il che significherebbe che non ho capito la domanda :-P Saluti da Lorenzo
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il mar 5 ott 2021, 18:47 Piviul ha scritto: Ciao Piviul, grazie della risposta (in coda un chiarimento del contesto). Il 04/10/21 19:19, Giuliano Curti ha scritto: > > Potrei risolvere la parte motion / telecamere con openssl perché > > motion gestisce sia il webcontrol che le stream con modalità TLS: vi > > sembra una soluzione adatta? > > Su openssl ... > > > Ciao Giuliano, non conosco l'argomento motion, cam ip ecc... Se vuoi ti dico brevemente cosa fa motion, poi cmq saltare a piè pari. Motion contiene un mini server web che trasmette una pagina di controllo (default porta 8080) ed il flusso video di ogni telecamera su una porta dedicata (tipicamente 8081, 8082, ecc.). ma fail2ban > un po' si. Il problema è l'autenticazione: chi si occupa > dell'autenticazione? Motion tramite TLS? Ma se un utente fallisce > l'autenticazione in quale file di log, motion o chi per lui, scrive il > tentativo fallito? Una volta che lo hai .. > Più o meno il processo è quello quindi come prima cosa devi scoprire in > quale file di log vengono scritti i failing auth. > L'autenticazione può essere fatta in due modi: o con la copia user:passwd o con TLS. MOTION ha un file di log (/bar/log/motion.log) e dovrò controllare lì quello che dici. Approfitto per una domanda su openSSL che era il mio oggetto di studio attuale; dal poco che ho letto ho il dubbio che openSSL miri a garantire l'autenticità del server, non alla sicurezza del sistema; fosse così lascerei perdere perché non è questo il mio obbiettivo e un malintenzionato non sarebbe assolutamente interessato a sapere se il mio server è autenticato o meno. Spero di esser stato chiaro Piviul Sei stato chiarissimo e ti ringrazio, ciao, Giuliano --- Sono cresciuto con il "personal" computer, nel vero senso della parola; ora mi trovo spaesato con le reti, che non conosco, e soprattutto la sicurezza; tutto il thread è la traccia del mio tentativo di risalire la china. I miei dati, immagini e foto di una casa di campagna non sono importanti, quindi sono poco interessato a soluzioni di crittografia del traffico; sono piuttosto interessato a far si che il mio sistema non possa essere utilizzato per attività malevole da terzi.
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il 04/10/21 19:19, Giuliano Curti ha scritto: Potrei risolvere la parte motion / telecamere con openssl perché motion gestisce sia il webcontrol che le stream con modalità TLS: vi sembra una soluzione adatta? Su openssl devo studiare tutto, quindi tornerò a chiedere consigli, ma intanto mi chiedevo se è una strada ragionevole da percorrere o una cavolata. Ciao Giuliano, non conosco l'argomento motion, cam ip ecc... ma fail2ban un po' si. Il problema è l'autenticazione: chi si occupa dell'autenticazione? Motion tramite TLS? Ma se un utente fallisce l'autenticazione in quale file di log, motion o chi per lui, scrive il tentativo fallito? Una volta che lo hai scoperto poi devi analizzare la riga relativa al failing log e devi trovare una espressione regolare per riconoscerla e per identificare l'ip del pc da cui è partita l'autenticazione; se non ricordo male quando hai queste informazioni devi creare una nuova jail con questi valori e a questo punto fail2ban sa contare quanti tentativi sono stati fatti e banna dopo un certo numero di tentativi falliti l'ip che li ha prodotti per un certo periodo di tempo. Più o meno il processo è quello quindi come prima cosa devi scoprire in quale file di log vengono scritti i failing auth. Spero di esser stato chiaro Piviul
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il mar 5 ott 2021, 15:58 Mario Vittorio Guenzi ha scritto: > Buongiorno > > .. Lorenzo e Mario Vittorio, grazie dei vostri suggerimenti, mi serviranno per approfondire l'argomento. Ciao, Giuliano
R: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Ciao, fail2ban su SSH lo lascerei solo per bloccare chi fa tentativi e quindi, una volta bannato, rifiutare le connessioni da quell’IP senza neanche fare attivare la risposta del daemon SSH. Capisco che implementare fail2ban sul collegamento https potrebbe essere difficoltoso. Però se il log dell’applicativo web che gestisce l’autenticazione è facile da interpretare, una regular expression che becchi il fallimento si può inventare. Pare che Motion abbia implementato i log sul failed logon un po’ di tempo fa: https://github.com/Motion-Project/motion/issues/348 https://github.com/Motion-Project/motion/pull/434 Chiedo scusa se queste cose sono state già dette, mi sono sicuramente perso dei pezzi. Ciao da Lorenzo Da: Giuliano Curti Inviato: martedì 5 ottobre 2021 12:24 A: debian-italian Oggetto: Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder) Il lun 4 ott 2021, 22:04 Mauro mailto:ma...@teppisti.it>> ha scritto: On 04/10/21 21:37, Davide Prina wrote: > > ma file2ban dovrebbe essere sufficiente installarlo non esattamente. Fail2ban si presenta con una sfilza di filtri da paura, Ciao Davide e Mauro, grazie delle risposte; Mauro ha chiarito i limiti e le difficoltà di fail2ban. Aggiungo per Davide che l'oggetto è la sicurezza di un sistema di videosorveglianza (abbastanza naif e basato sul solo motion); ho previsto l'apertura della porta 22 per l'amministrazione del sistema via SSH, occorre poi aprire le porte per l'uso di motion, una per il webcontrol (un controllo limitato dei parametri di motion) ed una per ogni telecamera. Ovviamente i dati (visualizzazione di un paio di prati) non hanno alcuna importanza e segretezza, sono più che altro un pretesto per farmi approfondire i temi della rete e della sicurezza; l'unica cosa fastidiosa sarebbe l'uso della mia macchina per attività criminose. Riassumo, senza ripetere, le domande che avevo posto: 1) la disabilitazione dell'accesso per password rende SSH ragionevolmente sicuro? 2) l'uso di SSL/TLS rende ragionevolmente sicura la connessione alle porte di pmotion e telecamerep? con "ragionevolmente sicuro" intendo che possa fare a meno di fail2ban. Grazie, ciao, Giuliano PS: ho qualche problema su openssl; mi sa che tornerò all'attacco :-)
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Il lun 4 ott 2021, 22:04 Mauro ha scritto: > > On 04/10/21 21:37, Davide Prina wrote: > > > > ma file2ban dovrebbe essere sufficiente installarlo > > > non esattamente. Fail2ban si presenta con una sfilza di filtri da paura, > Ciao Davide e Mauro, grazie delle risposte; Mauro ha chiarito i limiti e le difficoltà di fail2ban. Aggiungo per Davide che l'oggetto è la sicurezza di un sistema di videosorveglianza (abbastanza naif e basato sul solo motion); ho previsto l'apertura della porta 22 per l'amministrazione del sistema via SSH, occorre poi aprire le porte per l'uso di motion, una per il webcontrol (un controllo limitato dei parametri di motion) ed una per ogni telecamera. Ovviamente i dati (visualizzazione di un paio di prati) non hanno alcuna importanza e segretezza, sono più che altro un pretesto per farmi approfondire i temi della rete e della sicurezza; l'unica cosa fastidiosa sarebbe l'uso della mia macchina per attività criminose. Riassumo, senza ripetere, le domande che avevo posto: 1) la disabilitazione dell'accesso per password rende SSH ragionevolmente sicuro? 2) l'uso di SSL/TLS rende ragionevolmente sicura la connessione alle porte di pmotion e telecamerep? con "ragionevolmente sicuro" intendo che possa fare a meno di fail2ban. Grazie, ciao, Giuliano PS: ho qualche problema su openssl; mi sa che tornerò all'attacco :-)
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
On 04/10/21 21:37, Davide Prina wrote: ma file2ban dovrebbe essere sufficiente installarlo non esattamente. Fail2ban si presenta con una sfilza di filtri da paura, ma poi va tarato per le proprie necessita', altrimenti garantisco che le rogne sono superiori ai benefici. il suo funzionamento e' semplice: controlla che che passa nei log, in base a una serie di regex verifica chi fa il cattivo e superata la soglia indicata lo mette in punizione, bannandolo o segnalandolo. Proprio il passaggio delle regole di filtro insieme al tempo di ban sono critiche perche' se iniziano i falsi positivi o se le maglie sono troppo strette le soprese diventano interessanti. M.
Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
On 04/10/21 19:19, Giuliano Curti wrote: come da consiglio di Giancarlo ho installato fail2ban; mi sto documentando un po' e spero di configurarlo quanto prima; ma file2ban dovrebbe essere sufficiente installarlo, poi si occupa lui di chiudere fuori, temporaneamente, gli indirizzi che fanno troppi tentativi Ho pensato però un'altra soluzione e volevo sentire i vostri consigli: la configurazione di SSH per lavorare con chiavi senza password non risolverebbe il problema? non ho seguito tutto il discorso e forse non ho capito quale sia il problema. Usando una coppia di chiavi pubblica/privata puoi impostarlo per avere, ad esempio, l'accesso da remoto direttamente. reputo difficile per un eventuale malintenzionato scoprire la chiave o sbaglio? se entrambi i sistemi sono sicuri e non accessibili dall'attaccante è difficile indovinare la chiave privata... naturalmente dipende dall'algoritmo usato, dalla lunghezza della chiave, di come viene utilizzato, ... Se l'attaccante fa tentativi da remoto, hai installato file2ban e l'attaccante usa sempre lo stesso IP di partenza, allora riesce a fare pochi tentativi. le stream con modalità TLS ripeto non ho seguito il discorso e non sono pratico dei sistemi di telecamere. Ma in generale se espone lo stream in TLS, cioè penso tu voglia dire TLS over HTTP == HTTPS, allora dipende dal metodo di autenticazione usato e dall'algoritmo utilizzato per creare il canale cifrato. Tieni presente che l'HTTPS non è eccezionalmente intrinsecamente sicuro. Dovresti usare l'ultima versione TLS 1.3, impedire che si possa rinegoziare verso versioni precedenti, ... Forse, se è una cosa ad hoc, sarebbe più sicuro crearsi due coppie di chiavi pubblica/privata, ognuna per un end point. Usi queste coppie di chiavi per autenticare i due end point. Cifri da un end point con la chiave pubblica dell'altro e gli invii il flusso cifrato e l'altro decifra con la sua chiave privata. In questo modo decidi tu lunghezza chiavi (naturalmente dipende anche dalle prestazioni), quando rigenerarle, ..., su che porta esporre, ... evitare l'hanshake e la negoziazione, ... E tutto questo presupponendo che i due end point non abbiano altri problemi di sicurezza che potrebbero rendere vane queste misure. Ciao Davide -- Sistema operativo: http://www.debian.org GNU/Linux User: 302090: http://counter.li.org Non autorizzo la memorizzazione del mio indirizzo su outlook
Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Ciao a tutti, come da consiglio di Giancarlo ho installato fail2ban; mi sto documentando un po' e spero di configurarlo quanto prima; per SSH non dovrebbero esserci eccessivi problemi vista la mole di documentazione esistente, diverso sarà configurare la jail per motion e le telecamere di cui non trovo documentazione. Ho pensato però un'altra soluzione e volevo sentire i vostri consigli: la configurazione di SSH per lavorare con chiavi senza password non risolverebbe il problema? reputo difficile per un eventuale malintenzionato scoprire la chiave o sbaglio? Potrei risolvere la parte motion / telecamere con openssl perché motion gestisce sia il webcontrol che le stream con modalità TLS: vi sembra una soluzione adatta? Su openssl devo studiare tutto, quindi tornerò a chiedere consigli, ma intanto mi chiedevo se è una strada ragionevole da percorrere o una cavolata. Grazie, ciao, Giuliano
Re: debian stable - fail2ban problemi dopo dist-upgrade
Ciao > In aggiunta a quanto sopra, controlla la capienza del disco, sia mai che > sia pieno e quindi impedisce il proseguire dell'upgrade. nel frattempo ho installato altri pacchetti, per scrupolo ho controllato e di spazio ne ho tantissimo, comunque grazie della dritta, non ci avevo pensato. Il giorno 3 dicembre 2017 20:09, liste DOT girarsi AT posteo DOT eu < liste.gira...@posteo.eu> ha scritto: > Il 03/12/2017 18:52, Davide Prina ha scritto: > >> On 03/12/2017 18:13, Giuseppe Naponiello wrote: >> >> In fase di aggiornamento mi è comparso un errore poco chiaro in cui mi si >>> diceva che il restart di fail2ban.service falliva con errore >>> 'exit-code'. >>> Questo problema non mi permetteva di aggiornare completamente la >>> macchina, >>> nel senso che l'upgrade non terminava. >>> >> >> prova >> >> 1) primo tentativo >> >> # apt -f install >> >> se fallisce indicandoti di eseguire un comanda con dpkg, allora esegui >> quello e poi ripeti questo sopra >> >> 2) se fallisce il precedente, prova a forzare la rimozione di fail2ban >> (visto che non riesci a rimuoverlo normalmente), riesegui il punto 1 e poi >> a reinstallarlo >> >> # dpkg -r --force-remove-reinstreq fail2ban >> >> Ciao >> Davide >> >> > In aggiunta a quanto sopra, controlla la capienza del disco, sia mai che > sia pieno e quindi impedisce il proseguire dell'upgrade. > > > -- > _|_|_|_|_|_|_|_|_|_ > |_|_|_|_|_|_|_|_|_|_| > Simone Girardelli > > -- *Giuseppe Naponiello* *A**rc-**T**eam srl* piazza Navarrino, 13 - 38023Cles (TN) C.F. e P. IVA IT-01941600221 cell. +393476846599 mail: beppen...@arc-team.com pec: arc-t...@pec.it 101 | www.arc-team.com 110 | http://arc-team-open-research.blogspot.it/ 000 | https://independent.academia.edu/GiuseppeNaponiello
Re: debian stable - fail2ban problemi dopo dist-upgrade
Il 03/12/2017 18:52, Davide Prina ha scritto: On 03/12/2017 18:13, Giuseppe Naponiello wrote: In fase di aggiornamento mi è comparso un errore poco chiaro in cui mi si diceva che il restart di fail2ban.service falliva con errore 'exit-code'. Questo problema non mi permetteva di aggiornare completamente la macchina, nel senso che l'upgrade non terminava. prova 1) primo tentativo # apt -f install se fallisce indicandoti di eseguire un comanda con dpkg, allora esegui quello e poi ripeti questo sopra 2) se fallisce il precedente, prova a forzare la rimozione di fail2ban (visto che non riesci a rimuoverlo normalmente), riesegui il punto 1 e poi a reinstallarlo # dpkg -r --force-remove-reinstreq fail2ban Ciao Davide In aggiunta a quanto sopra, controlla la capienza del disco, sia mai che sia pieno e quindi impedisce il proseguire dell'upgrade. -- _|_|_|_|_|_|_|_|_|_ |_|_|_|_|_|_|_|_|_|_| Simone Girardelli
Re: debian stable - fail2ban problemi dopo dist-upgrade
On 03/12/2017 18:13, Giuseppe Naponiello wrote: In fase di aggiornamento mi è comparso un errore poco chiaro in cui mi si diceva che il restart di fail2ban.service falliva con errore 'exit-code'. Questo problema non mi permetteva di aggiornare completamente la macchina, nel senso che l'upgrade non terminava. prova 1) primo tentativo # apt -f install se fallisce indicandoti di eseguire un comanda con dpkg, allora esegui quello e poi ripeti questo sopra 2) se fallisce il precedente, prova a forzare la rimozione di fail2ban (visto che non riesci a rimuoverlo normalmente), riesegui il punto 1 e poi a reinstallarlo # dpkg -r --force-remove-reinstreq fail2ban Ciao Davide -- Dizionari: http://linguistico.sourceforge.net/wiki Database: http://www.postgresql.org GNU/Linux User: 302090: http://counter.li.org Non autorizzo la memorizzazione del mio indirizzo su outlook
debian stable - fail2ban problemi dopo dist-upgrade
Buona serata a tutti, ho aggiornato alcune macchine remote su cui ancora girava debian 8, su 4 aggiornamenti 3 sono andati lisci uno mi ha dato problemi con il pacchetto fail2ban. In fase di aggiornamento mi è comparso un errore poco chiaro in cui mi si diceva che il restart di fail2ban.service falliva con errore 'exit-code'. Questo problema non mi permetteva di aggiornare completamente la macchina, nel senso che l'upgrade non terminava. Ho provato a cercare, ma senza successo, ho verificato i file di configurazione (jail.conf e fail2ban.conf) ma non ho trovato errori. Ho provato a reinstallarlo ma non me lo permetteva. Ho provato a disinstallarlo e reinstallarlo ma niente. Ogni idea/consiglio è ben accetto. Il log di sistema è: Dec 3 18:10:43 localhost systemd[1]: fail2ban.service: Control process exited, code=exited status=255 Dec 3 18:10:43 localhost systemd[1]: Failed to start Fail2Ban Service. Dec 3 18:10:43 localhost systemd[1]: fail2ban.service: Unit entered failed state. Dec 3 18:10:43 localhost systemd[1]: fail2ban.service: Failed with result 'exit-code'. Dec 3 18:10:43 localhost systemd[1]: fail2ban.service: Service hold-off time over, scheduling restart. Dec 3 18:10:43 localhost systemd[1]: Stopped Fail2Ban Service. Dec 3 18:10:43 localhost systemd[1]: fail2ban.service: Start request repeated too quickly. Dec 3 18:10:43 localhost systemd[1]: Failed to start Fail2Ban Service. Dec 3 18:10:43 localhost systemd[1]: fail2ban.service: Unit entered failed state. Dec 3 18:10:43 localhost systemd[1]: fail2ban.service: Failed with result 'exit-code'. -- *Giuseppe Naponiello* *A**rc-**T**eam srl* piazza Navarrino, 13 - 38023Cles (TN) C.F. e P. IVA IT-01941600221 cell. +393476846599 mail: beppen...@arc-team.com pec: arc-t...@pec.it 101 | www.arc-team.com 110 | http://arc-team-open-research.blogspot.it/ 000 | https://independent.academia.edu/GiuseppeNaponiello
fail2ban roundcube
Ciao a tutti, premetto che non conosco fail2ban ma mi sembra molto interessante... vorrei utilizzarlo non solo per bannare accessi indesiderati in ssh ma anche per bannare accessi indesiderati su tutte i servizi esposti in internet. Ora mi sto concentrando su roundcube... ho visto che in jail.conf esiste già un plugin per roundcube ([roundcube-auth]) ma vedo che monitorizza un file inesistente (/var/log/roundcube/userlogins). I log degli errori invece roundcube li memorizza in /var/log/roundcube/errors. Ho modificato così jail.conf con il logpath corretto e abilitato il plug-in, quindi ho tentato un log con password sbagliata ma vedo che # fail2ban-client status roundcube-auth Status for the jail: roundcube-auth |- filter | |- File list:/var/log/roundcube/errors | |- Currently failed: 0 | `- Total failed: 0 `- action |- Currently banned: 0 | `- IP list: `- Total banned: 0 fail2ban non se n'è accorto. Eppure in /var/log/rouncube/errors trovo: [19-Dec-2016 09:48:05 +0100]: IMAP Error: Login failed for cam from 79.6.131.246. AUTHENTICATE PLAIN: Authentication failed. in /usr/share/roundcube/program/lib/Roundcube/rcube_imap.php on line 197 (POST /roundcube/?_task=login?_task=login&_action=login) ...qualcuno ha esperienza in merito? Grazie Piviul
Re: fail2ban alternatives
Propongo un'alternativa, rinforzare l'autenticazione con OATH, io le uso con dongle OATH, ma esistono app. gratuite per generare i codici di autenticazione. Ciao Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140525150049.m18...@corep.it
fail2ban alternatives
Intanto una buona giornata di sole a tutti. Nel mentre sto' imprecando col solito furto di credenziali di posta su uno dei tanti server con cui ho a che fare, stavo ragionando su come limitare l'uso non autorizzato di credenziali. Teniamo presente che la media intellettiva degli utenti che usa posta elettronica - fatti salvi i pinguini, anche se non sempre - e' piuttosto bassina, quindi le tante raccomandazioni fatte su come usare le credenziali di posta, quando cambiarle, come proteggere le stesse da uso fraudolento hanno un successo bassino e di tanto in tanto mi ritrovo con gente le cui credenziali vengono usate per tutto e da tutti tranne che dai legittimi proprietari. fino ad ora fail2ban e' stato un grandissimo amico e attivita' curiose da ip curiosi hanno sempre mietuto un sacco di successo. Ora pensavo a qualcosa di piu' raffinato rispetto a f2b che di base legge un file di log, ne estrae un ip e in base alle indicazioni lo comunica, lo mette in iptables e via disquisendo. Esiste qualcosa di un po' piu' raffinato, che vada oltre l'estrazione di un indirizzo ip, ma in base alle indicazioni, tiri fuori (p.es) il record di autenticazione_SASL di postfix e lo comunichi per ulteriori azioni piu' mirate? altrimenti vado di pitone... faccio un esempio: server di posta: il traffico medio di un account puo' essere misurato in un valore statistico superato il quale scatta la mannaia. in caso di aumento eccessivo di traffico da un account, l'applicazione esegue - che so' - un plugin che blocca l'account( un bello scriptino python che si interfaccia al db e disabilita' giusto l'indirizzo email del malcapitato) , non semplicemente l'ip di provenienza (che ne caso di botnet sarebbero un casino di ip - certe volte fail2ban quando ci sono troppi tentativi di login provenienti da botnet mi banna mezzo pianeta. mauro ma...@majaglug.net signature.asc Description: Message signed with OpenPGP using GPGMail
Re: iptables e fail2ban - tarpit spammers
ciao, ho installato fail2ban, sul mio mailserver, funziona con la policy drop, ma non riesco a implementare il TARPIT: Il target TARPIT non è di default su iptables (mi pare sia un modulo sperimentale), quindi va installato a parte. Fa parte del pacchetto xtables-addons, che puoi installare (comprende anche un modulo del kernel) o tramite dkms (xtables-addons-dkms) oppure tramite module-assistant (m-a a-i xtables-addons). ti ringrazio per la risposta, ma l'ho già installato (tramite m-a) e funziona in altre regole, ma non riesco a farlo partire tramite fail2ban dev'esserci qualcosa di errato nella regola ma non sono molto esperto di ipt :) -- Liga
Re: iptables e fail2ban - tarpit spammers
On Wed, Nov 16, 2011 at 13:16, Liga wrote: > ciao, > ho installato fail2ban, sul mio mailserver, funziona con la policy drop, ma > non riesco a implementare il TARPIT: Il target TARPIT non è di default su iptables (mi pare sia un modulo sperimentale), quindi va installato a parte. Fa parte del pacchetto xtables-addons, che puoi installare (comprende anche un modulo del kernel) o tramite dkms (xtables-addons-dkms) oppure tramite module-assistant (m-a a-i xtables-addons). -- Dario Pilori -Linux registered user #406515 -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CAC2nX3nh6WHwTJ2eT0sMsfpaxuujBzFuct7tm3dPDES3EM=v...@mail.gmail.com
Re: iptables e fail2ban - tarpit spammers
On 16/11/2011 11:48, Liga wrote: ciao, ho installato fail2ban, sul mio mailserver, funziona con la policy drop, ma non riesco a implementare il TARPIT: # Option: actionban # Notes.: command executed when banning an IP. Take care that the # command is executed with Fail2Ban user rights. # Tags: IP address # number of failures # unix timestamp of the ban time # Values: CMD # actionban = iptables -I fail2ban- 1 -s -j DROP #actionban = iptables -I fail2ban- 1 -s -j TARPIT questa viene espansa in: # iptables -D fail2ban-mailserver -s IP.x.x.x -j TARPIT iptables: No chain/target/match by that name.
iptables e fail2ban - tarpit spammers
ciao, ho installato fail2ban, sul mio mailserver, funziona con la policy drop, ma non riesco a implementare il TARPIT: # Option: actionban # Notes.: command executed when banning an IP. Take care that the # command is executed with Fail2Ban user rights. # Tags: IP address # number of failures # unix timestamp of the ban time # Values: CMD # actionban = iptables -I fail2ban- 1 -s -j DROP #actionban = iptables -I fail2ban- 1 -s -j TARPIT Avete qualche consiglio? ciao Liga -- Liga
