Gli utenti esperti potrebbero anche essere interessati a configurare il modo in cui le cosiddette jail Fail2Ban vengono usate per bloccare indirizzi IP. Una jail di Fail2Ban è una combinazione di un filtro e una o diverse azioni. Un filtro definisce un’espressione regolare che coincide con un modello corrispondente a un tentativo di accesso non riuscito o un’altra attività sospetta. Le azioni definiscono comandi che vengono eseguiti quando il filtro prende un indirizzo IP abusivo.

Una jail può essere attiva o inattiva. Quando il servizio Fail2Ban è in esecuzione, solo le jail attive vengono utilizzate per monitorare i file di log ed escludere gli indirizzi IP sospetti.

In Plesk esistono jail preconfigurate per tutti i servizi di hosting (server web, server di posta, server FTP, ecc.). La maggior parte di essi funziona nello stesso modo: rilevano tentativi di accesso non riusciti e bloccano l’accesso al servizio per dieci minuti. Queste jail sono elencate nella scheda Jail in Strumenti & Impostazioni >  >  Esclusione indirizzo IP (Fail2Ban).

image 76414

Sono disponibili le seguenti jail preconfigurate:

  • plesk-apache ricerca gli errori di autorizzazione Apache ed esclude i responsabili dell’attacco per 10 minuti.
  • plesk-apache-badbot cerca grabber di email e analisi di vulnerabilità nei file di registro di accesso ad Apache. L’esclusione dura due giorni.
  • plesk-dovecot ricerca gli errori di autorizzazione Dovecot IMAP, POP3 e Sieve ed esclude i responsabili dell’attacco per 10 minuti.
  • plesk-horde e plesk-roundcube rileva le funzioni di accesso del webmail e blocca l’accesso al servizio web per 10 minuti.
  • plesk-modsecurity proibisce gli indirizzi IP rilevati come nocivi dal Firewall dell’Applicazione Web ModSecurity. La jail può soltanto essere attivata se ModSecurity è già in esecuzione e proibirà gli autori di attacchi se ModSecurity funziona in modalità «Solo rilevamento». La proibizione dura 10 minuti.
  • plesk-panel rileva gli errori di accesso a Plesk ed esclude gli autori dell’attacco per 10 minuti.
  • plesk-postfix ricerca gli errori di autenticazione Postfix SMTP e SASL ed esclude gli autori dell’attacco per 10 minuti.
  • plesk-proftpd ricerca gli errori di accesso ProFTPD ed esclude i responsabili dell’attacco per 10 minuti.
  • plesk-wordpress ricerca gli errori di autenticazione WordPress ed esclude gli autori dell’attacco per 10 minuti.
  • recidive cerca altre esclusioni di jail nel proprio registro di Fail2Ban. Blocca gli host che hanno ricevuto una proibizione da altre jail cinque volte negli ultimi 10 minuti. L’esclusione dura una settimana e viene applicata a tutti i servizi sul server.
  • ssh ricerca gli errori di accesso SSH ed esclude i responsabili dell’attacco per 10 minuti.

Le jail preconfigurate per i componenti Plesk non installati non vengono mostrati nell’elenco. Per esempio, se il webmail RoundCube non è installato, la jail plesk-roundcube non viene mostrata nell’elenco di jail disponibili.

Per proteggere i tuoi servizi contro minacce specifiche, così come per proteggere servizi di terze parti che non vengono incorporati in Plesk, potrebbe essere opportuno configurare le proprie jail, attivarle e disattivarle, aggiornare le impostazioni delle jail e aggiungere filtri che possano essere usati dalle jail.

Attivare o disattivare una jail

Per attivare una jail:

  1. Vai a   Strumenti e impostazioni  >  Esclusione indirizzo IP (Fail2Ban) > Jail.
  2. Seleziona una jail e fai clic sul pulsante Attiva. Questo pulsante è disponibile solo se il servizio Fail2Ban è in esecuzione (la casella di controllo Abilita rilevamento intrusione è selezionata nella scheda Impostazioni).

Nota: Se cerchi di attivare diverse jail contemporaneamente con l’operazione Attiva di un gruppo e una delle jail non viene avviata, allora nessuna jail si avvierà. In tale caso, attiva la jail una dopo l’altra.

Per disattivare una jail:

  1. Vai a   Strumenti e impostazioni  >  Esclusione indirizzo IP (Fail2Ban) > Jail.

  2. Seleziona una jail e fai clic sul pulsante Disattiva.

    image 76412

Configurare le impostazioni della jail

Per configurare una nuova jail:

  1. Vai a   Strumenti e impostazioni  >  Esclusione indirizzo IP (Fail2Ban) > Jail > Aggiungi Jail

  2. Specifica il filtro.

    Puoi usare i seguenti filtri già configurati in Plesk:

    • apache-auth, per gli errori di autorizzazione di Apache.
    • apache-badbots, per gli spam bot e web crawler dannosi.
    • plesk-courierlogin, per gli errori di autenticazione Courier IMAP e POP3.
    • plesk-dovecot, per errori di autenticazione Sieve, Dovecot IMAP e POP3.
    • plesk-horde, per errori di autenticazione webmail.
    • plesk-modsecurity, per attacchi contro le applicazioni web rilevati dal firewall applicazioni web ModSecurity
    • plesk-panel, per errori di autenticazione Plesk.
    • plesk-qmail, per errori di autenticazione SMTP QMail.
    • plesk-roundcube, per errori di autenticazione della webmail Roundcube.
    • plesk-wordpress, per gli errori di autenticazione WordPress
    • postfix-sasl, per errori di autenticazione SASL e SMTP Postfix.
    • proftpd, per errori di accesso ProFTPD.
    • recidive, per host costantemente esclusi da Fail2Ban.
    • sshd, per errori di accesso SSH.

    Puoi anche aggiungere un filtro personalizzato. Per ulteriori dettagli, consulta la sezione Gestisci filtri di seguito.

  3. Indica l’azione della jail.

    Puoi usare le seguenti azioni, già configurate in Plesk:

    • iptables, per escludere un autore di attacco su una singola porta
    • iptables-allports, per escludere un autore di attacco su tutte le porte
    • iptables-multiport, per escludere un autore di attacco su più porte
    • sendmail, per inviare notifiche e-mail a un indirizzo e-mail specificato

    Seleziona un’azione dal menu Azioni, quindi fai clic su Aggiungi per aggiungerla alla jail. Puoi aggiungere quante azioni desideri alla jail. Le azioni possono essere personalizzate in base alle proprie esigenze, ad esempio specificando un indirizzo e-mail dedicato per l’invio delle notifiche o le porte che devono essere chiuse.

  4. Nel campo Percorso di accesso, specifica uno o più file di registro che Fail2Ban verificherà per identificare i segnali di un attacco.

  5. Imposta il periodo di esclusione degli indirizzi IP in secondi.

  6. Imposta il numero di tentativi di accesso non riusciti.

  7. Fare clic su OK.

    image 76406

Per modificare le impostazioni di una jail esistente:

  1. In   Strumenti & Impostazioni  >  > Esclusione indirizzo IP (Fail2Ban) > Jail, fai clic sul nome della jail quindi seleziona Cambia impostazioni.
  2. Modifica le impostazioni della jail e fai clic su OK.

Per rimuovere una jail:

  1. Vai a   Strumenti e impostazioni  >  Esclusione indirizzo IP (Fail2Ban) > Jail.
  2. Seleziona una jail e fai clic su Rimuovi.

Nota: Le jail comprese in Plesk non possono essere rimosse, ma possono unicamente essere disattivate. Puoi comunque rimuovere le jail che hai aggiunto.

Gestisci filtri

Per aggiungere un filtro che può essere usato da una jail:

  1. Vai su   Strumenti e impostazioni  >  > Esclusione indirizzo IP (Fail2Ban) > Jail > Gestisci filtri > Aggiungi filtro.
  2. Indica il nome del filtro e l’espressione regolare usata per coincidere con le righe dei file di registro. Per i dettagli sui filtri Fail2Ban, consultare la documentazione di Fail2Ban su http://www.fail2ban.org/wiki/index.php/MANUAL_0_8#Filters. Poiché Fail2Ban è un’applicazione Python, per i dettagli sulle espressioni regolari di Python, consultare la documentazione Python su https://docs.python.org/2/library/re.html.