Защита сервера (fail2ban)

[kyuriy5]

Фаервол уже включен в панель управления - это хорошо.
Хотелось бы увидеть еще и fail2ban

[sim]

Privet,

Fail2ban uzhe jest i rabotaet.

/etc/fail2ban/

[imperio]

Если у вас свежая установка, то да он есть. На уже работающих серверах до 11 релиза его нет. (инструкция скоро будет)

[kyuriy5]

Порылся, нашел на хабре отличную статейку - http://habrahabr.ru/post/238303/
Ребята не сидят сложа руки
Прикрутить бы штуковину к vest'e

[imperio]

Прикрутите)

[Peca]

А как прикрутить к уже работающим серверам, а то в новой инстралляции он появился, а в старых хоть они и обновлись её нет.

[imperio]

Мы готовим инструкцию для стандартного fail2ban

[demian]

интерфейс firewall (iptables) требует сильной доработки, не возможно организовать полноценную защиту сервера - в данном варианте чуть менее чем бесполезен(отсутствует возможность сдавать дополнительные цепочки правил, отсутствует возможность пере направления в другие цепочки правил, директивы TARPIT, DELUDE, CHAOS ).
fail2ban - фтопку, не подходит он для продакшен серверов. (лишняя служба, лишний пожиратель ресурсов)

ЗЫ: iptables должен настраиваться ручками компетентного специалиста.
ЗЫЫ: полноценные правила по защите сервера содержат более 50 строк конфига + твокаются настроки ядра linux по 17 параметрам

[Deeryo]

Отчасти соглашусь с demian, fail2ban не слишком хорош. Но iptables не может точно отследить перебор паролей по SSL. Как вариан можно предложить инклюдить файлы юзера в некоторых местах файервола. Изначально я предлагал реализовать шаблоны файервола, которые мог бы добавлять пользователь сервера.

[demian]

и не надо отслеживать перебор паролей по ssh 2 попытки конекта на порт с одного IP в течении минуты и IP с которого пытались конектится идет лесом на 24 часа. по ftp та же вата, только время меньше.

вообще конектится по ssh используя пароль не есть хорошая тема. по ssh надо конектится используя ssh ключь.