Qualcuno che usa file2ban? Mi occorrerebbe una mano sulla configurazione
del ban (ipv6 ed ipv4) dopo tre tentativi sbagliati di login su http ed
https, porte 80 e 443.
Quesato è quello che dobrei bannare dopo tre tentativi errati:

2023-07-25 14:21:47 ERROR logapache [16387]: [::ffff:10.10.253.22]
Failed authentication for user u'pippo'

/paride
-- https://keyserver.gnupg.org/pks/lookup?op=get&search=0xf14cd648d16d33c82a7d2ac778c59a24690431d3

Chi e' pronto a rinunciare alle proprie liberta' fondamentali per
comprarsi briciole di temporanea sicurezza non merita ne' la liberta'
ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore,
Assemblea della Pennsylvania, 11 novembre 1755)

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Paride Desimone <[email protected]> writes:

Qualcuno che usa file2ban? Mi occorrerebbe una mano sulla configurazione del ban
(ipv6 ed ipv4) dopo tre tentativi sbagliati di login su http ed https, porte 80
e 443.
Quesato è quello che dobrei bannare dopo tre tentativi errati:

2023-07-25 14:21:47 ERROR logapache [16387]: [::ffff:10.10.253.22] Failed authentication for user u'pippo'

Io per nginx ho in /etc/fail2ban/jail.conf quest righe

[nginx-http-auth]

port = http,https
logpath = %(nginx_error_log)s

[nginx-limit-req]
port = http,https
logpath = %(nginx_error_log)s

[nginx-botsearch]

port = http,https
logpath = %(nginx_error_log)s
maxretry = 2

E la cosa pare funzionare.

--
Ciao
leandro

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il mar 25 lug 2023, 15:48 Paride Desimone <[email protected]> ha scritto:

Ciao Paride,

Qualcuno che usa file2ban? Mi occorrerebbe una mano sulla configurazione

del ban (ipv6 ed ipv4) dopo tre tentativi sbagliati di login su http ed https, porte 80 e 443.
Quesato è quello che dobrei bannare dopo tre tentativi errati:

2023-07-25 14:21:47 ERROR logapache [16387]: [::ffff:10.10.253.22]
Failed authentication for user u'pippo'

L'avevo usato tempo fa per un'applicazione casalinga (non sono un amministratore di rete).

Quello che dici tu dovrebbe farlo automaticamente; mi sembra di ricordare
che tu possa settare la soglia (quanti tentativi in quanto tempo) e la
durata dell'espulsione, ma sto andando un po' a tentoni.

Se precisi meglio il tuo dubbio diventa più facile risolvere :-)

/paride


Ciao,
Giuliano

<div dir="auto"><div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Il mar 25 lug 2023, 15:48 Paride Desimone &lt;<a href="mailto:[email protected]">[email protected]</a>&gt; ha scritto:<br></div><div dir="ltr" class="gmail_attr"><br></div><
div dir="ltr" class="gmail_attr">Ciao Paride,</div><div dir="ltr" class="gmail_attr"><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Qualcuno che usa file2ban? Mi occorrerebbe una mano sulla
configurazione <br>
del ban (ipv6 ed ipv4) dopo tre tentativi sbagliati di login su http ed <br> https, porte 80 e 443.<br>
Quesato è quello che dobrei bannare dopo tre tentativi errati:<br>

2023-07-25 14:21:47 ERROR logapache [16387]: [::ffff:10.10.253.22] <br>
Failed authentication for user u&#39;pippo&#39;<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">L&#39;avevo usato tempo fa per un&#39;applicazione casalinga (non sono un amministratore di rete).</div><div dir="auto"><br></div><div
dir="auto">Quello che dici tu dovrebbe farlo automaticamente; mi sembra di ricordare che tu possa settare la soglia (quanti tentativi in quanto tempo) e la durata dell&#39;espulsione, ma sto andando un po&#39; a tentoni. </div><div dir="auto"><br></div><
div dir="auto">Se precisi meglio il tuo dubbio diventa più facile risolvere :-)</div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
/paride<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">Ciao,</div><div dir="auto">Giuliano</div><div dir="auto"><br></div></div>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 25-07-2023 15:10 Giuliano Curti ha scritto:

Il mar 25 lug 2023, 15:48 Paride Desimone <[email protected]> ha
scritto:

Ciao Paride,

Qualcuno che usa file2ban? Mi occorrerebbe una mano sulla
configurazione

del ban (ipv6 ed ipv4) dopo tre tentativi sbagliati di login su http
ed
https, porte 80 e 443.
Quesato è quello che dobrei bannare dopo tre tentativi errati:

2023-07-25 14:21:47 ERROR logapache [16387]: [::ffff:10.10.253.22]
Failed authentication for user u'pippo'

L'avevo usato tempo fa per un'applicazione casalinga (non sono un amministratore di rete).

Quello che dici tu dovrebbe farlo automaticamente; mi sembra di
ricordare
che tu possa settare la soglia (quanti tentativi in quanto tempo) e la
durata dell'espulsione, ma sto andando un po' a tentoni.

Se precisi meglio il tuo dubbio diventa più facile risolvere :-)

Mi serve che dopo tre tentativi di log errati "ERROR logapache..." banni
l'ip associato.

/paride

Ciao,
Giuliano

-- https://keyserver.gnupg.org/pks/lookup?op=get&search=0xf14cd648d16d33c82a7d2ac778c59a24690431d3

Chi e' pronto a rinunciare alle proprie liberta' fondamentali per
comprarsi briciole di temporanea sicurezza non merita ne' la liberta'
ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore,
Assemblea della Pennsylvania, 11 novembre 1755)

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il mer 26 lug 2023, 09:30 Paride Desimone <[email protected]> ha scritto:

Ciao Paride,
provo a risponderti con la premessa che non sono risposte "assertive",
bensì "dubbiose".
In ogni caso ho attinto da fail2ban.org/manual.

Il 25-07-2023 15:10 Giuliano Curti ha scritto:

Il mar 25 lug 2023, 15:48 Paride Desimone <[email protected]> ha
scritto:

.....

Se precisi meglio il tuo dubbio diventa più facile risolvere :-)

Mi serve che dopo tre tentativi di log errati "ERROR logapache..." banni
l'ip associato.

Il numero di tentativi dovrebbe essere controllato dal parametro maxretray, quindi nel tuo caso dovrebbbe essere maxretray = 3.

Mi sembra (ma questa è più una domanda che risposta) funzioni in sincrono
con findtime, cioè se vengono superati "maxretray" nel periodo "findtime";
nel tuo caso dovresti mettere un findtine molto alto, tipo findtine = 86400
(1 giorno) o forse omettere del tutto il parametro findtime; leggendo un articolo in rete mi è venuto questo dubbio.

Volendo agire su Apache penso devi semplicemente attivare la/a jail già predisposta/e, cmq in rete (ad es. DigitalOcean.org/How To Protect an
Apache Server....", per quanto vecchio, o xmodulo.com/How to configure
fail2ban to protect Apache HTTP server) trovi esempi di configurazione; peraltro ho visto che le protezioni con Apache sono molteplici.

/paride

Spero ti sia di aiuto, ciao,
Giuliano

<div dir="auto"><div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Il mer 26 lug 2023, 09:30 Paride Desimone &lt;<a href="mailto:[email protected]">[email protected]</a>&gt; ha scritto:<br></div><div dir="ltr" class="gmail_attr"><br></div><
div dir="ltr" class="gmail_attr">Ciao Paride,</div><div dir="ltr" class="gmail_attr">provo a risponderti con la premessa che non sono risposte &quot;assertive&quot;, bensì &quot;dubbiose&quot;.</div><div dir="ltr" class="gmail_attr">In ogni caso ho
attinto da <a href="http://fail2ban.org/manual">fail2ban.org/manual</a>.</div><div dir="ltr" class="gmail_attr"><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Il 25-07-2023 15:10 Giuliano
Curti ha scritto:<br>
&gt; Il mar 25 lug 2023, 15:48 Paride Desimone &lt;<a href="mailto:[email protected]" target="_blank" rel="noreferrer">[email protected]</a>&gt; ha <br>
&gt; scritto:<br>
&gt; <br>
&gt; ..... <br>
&gt; <br>
&gt; Se precisi meglio il tuo dubbio diventa più facile risolvere :-)<br>
&gt; <br>

Mi serve che dopo tre tentativi di log errati &quot;ERROR logapache...&quot; banni <br>
l&#39;ip associato.</blockquote></div></div><div dir="auto"><div dir="auto"><br></div><div dir="auto">Il numero di tentativi dovrebbe essere controllato dal parametro maxretray, quindi nel tuo caso dovrebbbe essere maxretray = 3.</div><div dir="auto"><br>
</div><div dir="auto">Mi sembra (ma questa è più una domanda che risposta) funzioni in sincrono con findtime, cioè se vengono superati &quot;maxretray&quot; nel periodo &quot;findtime&quot;; nel tuo caso dovresti mettere un findtine molto alto, tipo
findtine = 86400 (1 giorno) o forse omettere del tutto il parametro findtime; leggendo un articolo in rete mi è venuto questo dubbio.</div><div dir="auto"><br></div><div dir="auto">Volendo agire su Apache penso devi semplicemente attivare la/a jail già
predisposta/e, cmq in rete (ad es. DigitalOcean.org/How To Protect an Apache Server....&quot;, per quanto vecchio, o <a href="http://xmodulo.com/How">xmodulo.com/How</a> to configure fail2ban to protect Apache HTTP server) trovi esempi di configurazione;
peraltro ho visto che le protezioni con Apache sono molteplici.</div><div dir="auto"><br></div></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

&gt; /paride<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">Spero ti sia di aiuto, ciao,</div><div dir="auto">Giuliano</div><div dir="auto"><br></div></div>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Mandi! Paride Desimone
In chel di` si favelave...

Mi serve che dopo tre tentativi di log errati "ERROR logapache..." banni
l'ip associato.

Ma le regole di base di fail2ban fornite con il pacchetto debian non ti bastano?

Magari aggiungendo solo un .local per cambiare il numero di tentativi?!

--
Il voto e` l'orgasmo della democrazia
(Marco Pio Bravo)

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Ciao Paride

Il giorno mar, 25/07/2023 alle 13.48 +0000, Paride Desimone ha scritto:

Qualcuno che usa file2ban? Mi occorrerebbe una mano sulla configurazione
del ban (ipv6 ed ipv4) dopo tre tentativi sbagliati di login su http ed https, porte 80 e 443.
Quesato è quello che dobrei bannare dopo tre tentativi errati:

2023-07-25 14:21:47 ERROR logapache [16387]: [::ffff:10.10.253.22]
Failed authentication for user u'pippo'

Il fail2ban richiede di impostare alcuni parametri aggiuntivi: non credo si possa bloccare un IP genericamente dopo 3 tentativi, si deve difatti dire
in quanto tempo questi tentativi vanno fatti. Inoltre dovresti impostare il periodo di tempo, successivo al blocco, per riabilitare l'IP.

Il tempo totale nel quale vengono contati i tentativi è il parametro
findtime, la durata del blocco è il parametro bantime, il numero di
tentativi è maxretry. Tutti questi parametri dovresti metterli in un file «jail». Dovresti creare anche un file «filter» nel quale mettere l'espressione regolare per rintracciare la riga che ti interessa
all'interno del log. Il manuale su jail.conf ne spiega i dettagli.

Ciao,
Giuseppe

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)