Problemas com iptables e fail2ban

[PedroHenrique]

Boa tarde

Eu uso o VestaCP a algum tempo, já instalei e reinstalei em vários servidores e sempre tenho o mesmo problema.

Me refiro ao funcionamento do Iptables + fail2ban, nunca bloqueia as tentativas de acesso aos servições do servidor(SSH, ProFTPD, Vesta, Exim). Eu fiz vários testes errando os dados de login e nunca lista os IP com bloqueados, as vezes do nada aparece o IP como bloqueado, mas não bloqueia. Por exemplo: fiz um teste tentando acesso por SSH e errei a senha, depois de 3 tentativas (apesar de estar configurado para 5!) o IP aparece na lista como banido, mas não é, pois ainda consigo ficar tentando acesso e pingar, e pior ainda, se eu digitar os dados corretos mesmo depois do IP ter sido "banido", eu cosigo logarno ssh! :(

Já perdi a conta de quantos servidores com vesta eu tive e já configurei, e em todos sempre acontece o mesmo. Imagino que tem que ser feito algo para que funcione, já segui tutoriais e nada.

Alguém sabe como trabalhar com IPtalbes e Fail2Ban?

[RobertSP]

1 hora atrás, PedroHenrique disse:

Boa tarde

Eu uso o VestaCP a algum tempo, já instalei e reinstalei em vários servidores e sempre tenho o mesmo problema.

Me refiro ao funcionamento do Iptables + fail2ban, nunca bloqueia as tentativas de acesso aos servições do servidor(SSH, ProFTPD, Vesta, Exim). Eu fiz vários testes errando os dados de login e nunca lista os IP com bloqueados, as vezes do nada aparece o IP como bloqueado, mas não bloqueia. Por exemplo: fiz um teste tentando acesso por SSH e errei a senha, depois de 3 tentativas (apesar de estar configurado para 5!) o IP aparece na lista como banido, mas não é, pois ainda consigo ficar tentando acesso e pingar, e pior ainda, se eu digitar os dados corretos mesmo depois do IP ter sido "banido", eu cosigo logarno ssh! :(

Já perdi a conta de quantos servidores com vesta eu tive e já configurei, e em todos sempre acontece o mesmo. Imagino que tem que ser feito algo para que funcione, já segui tutoriais e nada.

Alguém sabe como trabalhar com IPtalbes e Fail2Ban?

Esqueça fail2ban, configure csf no vesta e seja feliz. Funciona perfeitamente.

[PedroHenrique]

27 minutos atrás, RobertSP disse:

Esqueça fail2ban, configure csf no vesta e seja feliz. Funciona perfeitamente.

Eu tenho outros 2 vps que eu fiz isso usando esse tutorial https://forum.vestacp.com/viewtopic.php?t=10209

Porém em ambos não funcionou corretamente, as vezes eles bloqueava ataques via SSH, mas em nenhum deles está bloqueando FTP. Inclusive na lista de IPs bloqueados só tem tentativas via SSH e nenhum outro serviço.

Inclusive na semana passada mesmo eu instalei o CSF em um dos vps, formatei várias vezes sem instalar fail2ban, as vezes nem mesmo o IPtables eu instalei e não funcionou igual funciona no cpanel.

Sabe me dizer se tem algo a ser feito para poder funcionar 100%?

[RobertSP]

Não tem como responder sem saber como você está configurando, qual SO, quais os seus "testes" etc.
Mas posso afirmar que iptables funciona normal, não é bug no vesta.

[PedroHenrique]

O VPS um roda Centos 7 e o outro Centos 6.9 ambos de 64bits + VestaCP instalado com estas características:

bash vst-install.sh --nginx yes --phpfpm yes --apache no --named yes --remi yes --vsftpd no --proftpd yes --iptables yes --fail2ban yes --quota yes --exim yes --dovecot yes --spamassassin yes --clamav yes --mysql yes --postgresql no

O Fail2ban eu desinstalei, deixei somente o Iptables pois o CSF precisa dele, correto?

O teste que eu fiz foi o seguinte:

Através de outro servidor eu realizei um teste de conexão por ssh: ssh -p 2222 root@xxx.xxx.xxx.xxx, errei a senha por 5 vezes, que foi o limite que configurei no CSF. Depois de 5 tentativas erradas, o CSF bloqueou o IP e também não foi possível pingar no servidor. No teste ssh o CSF funcionou igual no cpanel.

Usei o mesmo método para testar o FTP: ftp xxx.xxx.xxx.xxx , errei o nome de usuário, senha, errei os dois... várias vezes e o CSF não bloqueia o IP.  No fórum do vesta naquele mesmo tutorial de instalação, tem uns caras lá que também não está funcionando o bloqueio do FTP, falam algo sobre regras no regex... por isso as vezes penso que pode ser um bug.

Outros tipos de acesso: ao painel vesta, exim, dovecot, imap etc  eu não testei.

A verdade é que nem com Fail2ban ou CSF eu nunca consegui proteger os VPS.

[PedroHenrique]

@RobertSP, consegui resolver e fazer funcionar o CSF para bloquear o proftpd, com ajuda do cara que desenvolveu essa adaptação para o vesta.

Tem que editar o arquivo csf.conf, procurar a linha onde tem o path do log do serviço de ftp e informar o caminho do log do proftpd.

Vou tentar agora seguir a mesma ideia e ver se funciona com o fail2ban.

[RobertSP]

Como citei sem saber o que usa fica dificil. ProFTPD além dos logs, tem regex específico, isso você encontra no forum do csf.
 

[PedroHenrique]

Em 06/05/2017 em 20:05, RobertSP disse:

Como citei sem saber o que usa fica dificil. ProFTPD além dos logs, tem regex específico, isso você encontra no forum do csf.
 

Me surgiu esse problema agora. Como falei acima consegui fazer funcionar em um servidor com Centos 6.9, já em outro servidor com Centos 7 não bloqueia o proftpd, ai encontrei justamente isso na internet sobre o regex específico, só que todos os que encontrei não funcionaram. :(

Agora volto a ter o mesmo problema, porém no Centos 7.