Dark_evolutioN

Tuesday, April 24, 2007

Navegalia....Instalación de Force Brute Detection para Cpanel

BFD es un script que se aplica a los logs y checkea fallos de autentificación. En unión con APF banea esas IPs que estan intentando entrarnos...

La web oficial del script es: http://www.rfxnetworks.com/bfd.php

En esta guía veremos como Instalar BFD y como configurarlo. Incluso nos avisará por mail cuando una IP ha intentado entranos fallidamente y ha sido baneada.

Logeate en tu servidor por SSH y su a root.

1. cd /root/downloads o otro directorio temporal para tus archvios.

2. wget http://www.rfxnetworks.com/downloads/bfd-c...-current.tar.gz

3. tar -xvzf bfd-current.tar.gz

4. cd bfd-0.2

5. Ejecuta el instalador: ./install.sh
Recibirás un mensaje avisandote de que ya esta instalado

.: BFD installed
Install path: /usr/local/bfd
Config path: /usr/local/bfd/conf.bfd
Executable path: /usr/local/sbin/bfd

6. Editamos el archivo de configuración: pico /usr/local/bfd/conf.bfd

7. Activamos alertas contrar intentos de brute force hack:
Busca: ALERT_USR="0" CAMBIALO A: ALERT_USR="1"

Busca: EMAIL_USR="root" CAMBIALO A: EMAIL_USR="tu@dirección de correo"

Guarda los cambios: Ctrl+X then Y

8. Evita que te banee a ti mismo!
pico -w /usr/local/bfd/ignore.hosts y añade tus IPS. (con las que accedes al servidor, las de conexión a internet Ej: 192.168.1.1)

Guarda los cambios: Ctrl+X then Y

BFD usa la habilidad de inserción de APF' cli
y añadirá las IPS que intentan entrarte al archivo de IPS baneadas por lo que es importante añadir tus IPS al archivo de allow_hosts.rules para evitar que te blockee el acceso al servidor.

9. Ejecuta el Programa!
/usr/local/sbin/bfd -s

En allow_hosts.rules

Pones tus IPs despues de todo lo que va en #####

osea, en el fichero tienes esto:

# Syntax:
# proto:flow:[s/d]=port:[s/d]=ip(/mask)
# s - source , d - destination , flow - packet flow in/out
#
# Examples:
# inbound to destination port 22 from 24.202.16.11
# tcp:in:d=22:s=24.202.16.11
#
# outbound to destination port 23 to destination host 24.2.11.9
# out:d=23:d=24.2.11.9
#
# inbound to destination port 3306 from 24.202.11.0/24
# d=3306:s=24.202.11.0/24
#
##
96.145.67.12 <---- ips
128.23.46.57 <---- Ips

En ignore.hosts yo tengo puestas tambien las IPS de conexión a internet, osea las de Internet, no las internas.


Autor de este tutorial;Ing_Amc

Labels:

posted by Crow at 9:32 PM

Name :
Web URL :
Message :
:) :( :D :p :(( :)) :x
 
Older Posts