Linux Mint    Ubuntu    openSUSE    Asterisk    FreeBSD    Android    Nokia N900    Игры в Linux
 Linux Mint    Ubuntu     openSUSE     Asterisk     FreeBSD     Android     N900     Games

FreePBX ставим защиту от брутфорса с помощью Fail2Ban

Всем привет.

В продолжении статей про FreePBX, Asterisk и Linux хочу поделиться опытом и заодно сделать для себя по меточку, как настроить защиту от подбора паролей на сервере с FreePBX панелью, а заодно и Asterisk 12. Сразу оговорюсь, что я искал в интернете подобные статьи, но ничего не нашел, так что уникальность этому сайту не повредит ))) И так поехали.

Считается, что у нас уже установлено, настроено и прекрасно работает FreePBX+Asterisk, вот. Как правило FreePBX в 98% случаев все устанавливаю в корневой каталог Apache и радуются жизни, лишь немногие поступаю иначе и при установке использую параметр --web-dir=... . Разумеется еси сервер смотрит в интернет напрямую или на него проброшен порт 80 на нате, то любой посетитель сети может попасть к вам в систему. Все что останется подобрать пароль.

Что бы избежать несанкционированного доступа воспользуемся утилитой Fail2Ban. Как правило во всех современных дистрибутивах она уже есть либо в репах либо установлена из коробки, так что поставить ее труда не составит. А вот как настроить я расскажу.

Создадим файл /etc/fail2ban/filter.d/freepbx.conf с таким содержимым:

# Fail2Ban filter for FreePBX authentication failures
#

[Definition]

# Анализ даты и времени:
log_prefix= \[\]\s*

failregex = ^%(log_prefix)s Authentication failure for .* from <HOST>

ignoreregex =

# Author: BAF mail: ya.baf28собакаyandex.kz

Тут все просто и не затейливо, ищем время и нерадивых баним. Затем в файле /etc/fail2ban/jail.conf добавляем правило:

[pbx-gui]
enabled  = true
filter   = freepbx
port     = http,https
logpath  = /var/log/asterisk/freepbx_security.log
maxretry = 3

logpath - путь к логу, обязательно проверьте что бы было правильно

port - у меня работает через http и https поэтому так, у вас можно просто http.

На этом все рестартуем fail2ban и радуемся. По умолчанию будет так: если кто-то в течении 10 минут введет 3 раза неверные данные, то ему будет поставлен бан. Я баню на сутки. А как банить тех кто уже был забанен расскажу в следующий раз.

Пользуйтесь господа, да я не забуду :)

Гость аватар

Отличная инструкция!