fail2ban, как настроить для блокировке переборщиков паролей

[VecH]

fail2ban, как настроить для блокировке переборщиков паролей ?

постоянно пытаются подключиться по web, ssh, entware ssh ?

мне доступ нужен, т.к. часто сам подключаюсь удаленно к роутеру (VPN не всегда удобен, для этого на смартфоне надо выключить текущий VPN канал (да и на ПК тоже такая проблема бывает)

 

Главный вопрос, как из entware читать логи кинетика что бы выцеплять оттуда ошибочные авторизации?
 

/var/log
/opt/var/log

пустые

Изменено 10 августа, 2024 пользователем VecH

[pumba]

присоединяюсь к вопросу

[Александр Рыжов]

TL;DR: Прошивочные сервисы уже защищены, а для ssh в Entware проще настроить авторизацию по ключу и закрыть вопрос.

 

Защита от брутфорса в прошивке есть и для telnet/ssh, и для веб-интерфейса, при необходимости правила можно подкрутить самостоятельно. Если в Entware надо прикрыть только ssh, то проще отказаться от парольной авторизации. Если по какой-то причине не подходит, то использовать sshguard.

Полное классическое решение fail2ban здесь смотрится сильно избыточным. Для его настройки придётся:

• настроить сущность для выгрузки логов в /opt/var/log (klogd, syslog-ng и пр.),
• настроить ротацию логов для того, чтобы не переполнить диск,
• настроить интеграцию fail2ban c netfilter с помощью хуков /opt/etc/ndm/netfilter.d.

…в итоге получив почти то же самое и кучу новых точек отказа.

 

Другими словами: решения, которые органично смотрятся на большом ПК иногда слабо подходят для embedded устройств. В частности, fail2ban на роутере я бы стал использовать только от полной безысходности.

[VecH]

А как встроенной защитой управлять?
я допустим хочу увеличить срок блокировки до пары месяцев (китайцы замучали бомбить по web интерфейсу)

как смотреть списки заблокированных?

то есть в использовании он может быть и практичен, но в управлении и мониторингу не предназначен от слова "совсем"

[Александр Рыжов]

См. документацию CLI. Для веб-интерфейса это 

ip http lockout-policy ‹threshold› [‹duration› [‹observation-window›]]

[VecH]

38 минут назад, VecH сказал:

как смотреть списки заблокированных?

А с этим как?

 

это для HTTP

а для ssh такое есть?

Изменено 14 марта пользователем VecH

[Le ecureuil]

19 минут назад, VecH сказал:

А с этим как?

 

это для HTTP

а для ssh такое есть?

Есть для всего, посмотрите в CLI Guide.

Просмотра заблоченных пока нет.

[Александр Рыжов]

57 минут назад, VecH сказал:

как смотреть списки заблокированных?

Для www проще всего будет включить отображение блокировок в системном логе средствами прошивки. Для остальных см. соотв. наборы ipset в Entware, пример: 

ipset list _NDM_BFD_Ssh4

[zingarini]

Коллеги, подскажите как защитить от брутфорса ресурсы за встроенным прокси, если таковые сами за себя постоять не могут?

ЗЫ Вот бы расширить время блокировки самых настойчивых до "навсегда" 

Изменено 24 ноября пользователем zingarini

[KeyYerS]

Это поможет?

[zingarini]

В 24.11.2025 в 16:30, KeyYerS сказал:

Это поможет?

Это просто бомба!! Немного времени чтобы разобраться, а дальше счастье!!

Спасибо!