Differenze
Queste sono le differenze tra la revisione selezionata e la versione attuale della pagina.
| Entrambe le parti precedenti la revisione Revisione precedente Prossima revisione | Revisione precedente | ||
|
domoticz-sj-sicurezza [2017/09/06 11:31] 87.2.110.139 |
domoticz-sj-sicurezza [2019/09/06 15:36] (versione attuale) flane [1.1.6 Riavviare fail2ban] |
||
|---|---|---|---|
| Linea 26: | Linea 26: | ||
| </code> | </code> | ||
| - | ==== 2.2 Aggiungere il log di Domoticz a Fail2ban ==== | + | ==== 1.1.2 Aggiungere il log di Domoticz a Fail2ban ==== |
| Innanzitutto andremo a dire a fail2ban dove andare a guardare e che cosa cercare. | Innanzitutto andremo a dire a fail2ban dove andare a guardare e che cosa cercare. | ||
| Linea 51: | Linea 51: | ||
| Naturalmente dovrete modificare la porta e la posizione del file log secondo le vostre impostazioni, ma se avete seguite le altre mie guide quando indicato è già corretto. In questo modo fail2ban permetterà solo 3 tentativi di accesso a Domoticz, dopo di che l’ip verrà bloccato e non sarà più permesso l’accesso. | Naturalmente dovrete modificare la porta e la posizione del file log secondo le vostre impostazioni, ma se avete seguite le altre mie guide quando indicato è già corretto. In questo modo fail2ban permetterà solo 3 tentativi di accesso a Domoticz, dopo di che l’ip verrà bloccato e non sarà più permesso l’accesso. | ||
| - | ==== 2.3 Aggiungi definizioni di ricerca per Domoticz in fail2ban ==== | + | ==== 1.1.3 Aggiungi definizioni di ricerca per Domoticz in fail2ban ==== |
| Per fare in modo che fail2ban trovi gli indirizzi IP da bloccare, dobbiamo fornire a fail2ban alcune definizioni di ricerca (regex). Andiamo a creare il file domoticz.conf | Per fare in modo che fail2ban trovi gli indirizzi IP da bloccare, dobbiamo fornire a fail2ban alcune definizioni di ricerca (regex). Andiamo a creare il file domoticz.conf | ||
| Linea 95: | Linea 95: | ||
| </code> | </code> | ||
| - | ==== 2.4 Aggiunta di un IP a whitelist (Facoltativo) ==== | + | ==== 1.1.4 Aggiunta di un IP a whitelist (Facoltativo) ==== |
| Se volete che fail2ban non blocchi i PC presenti all’interno della vostra rete locale LAN, è possibile aggiungere i vostri indirizzi ad una whitelist, in modo che i tentativi di accesso non passino sotto il filtro di fail2ban. | Se volete che fail2ban non blocchi i PC presenti all’interno della vostra rete locale LAN, è possibile aggiungere i vostri indirizzi ad una whitelist, in modo che i tentativi di accesso non passino sotto il filtro di fail2ban. | ||
| Linea 113: | Linea 113: | ||
| </code> | </code> | ||
| - | Nel caso in cui i vostri indirizzi di rete locale appartengano ad una famiglia diversa (ad esempio 192.168.178.x o altro) modificate quanto sopra di conseguenza. Potete eventualmente aggiungere anche altri IP (anche esterni) se siete sicuri che siano accessi affidabili (ad esempio se avete un IP statico esterno da cui accedete spesso), lasciando semplicemente uno spazio nella riga modificata precedentemente ed aggiungendo l’ip a cui garantire libero accesso. Per approfondimenti: [[http://www.fail2ban.org/wiki/index.php/Whitelist|http://www.fail2ban.org/wiki/index.php/Whitelist]] | + | Nel caso in cui i vostri indirizzi di rete locale appartengano ad una famiglia diversa (ad esempio 192.168.178.x o altro) modificate quanto sopra di conseguenza. Potete eventualmente aggiungere anche altri IP (anche esterni) se siete sicuri che siano accessi affidabili (ad esempio se avete un IP statico esterno da cui accedete spesso), lasciando semplicemente uno spazio nella riga modificata precedentemente ed aggiungendo l’ip a cui garantire libero accesso. \\ |
| + | Per approfondimenti: [[http://www.fail2ban.org/wiki/index.php/Whitelist|http://www.fail2ban.org/wiki/index.php/Whitelist]] | ||
| - | ==== 2.5 Abilitare fail2ban per accessi ssh, http e https (facoltativo) ==== | + | ==== 1.1.5 Abilitare fail2ban per accessi ssh, http e https (facoltativo) ==== |
| Potete fare in modo che anche altri tentativi di accesso passino sotto il controlo di fail2ban, in particolare se utilizzate l’immagine SolarJessie, il consiglio è di abilitare il filtro anche per i servizi ssh, http e https. | Potete fare in modo che anche altri tentativi di accesso passino sotto il controlo di fail2ban, in particolare se utilizzate l’immagine SolarJessie, il consiglio è di abilitare il filtro anche per i servizi ssh, http e https. | ||
| Linea 155: | Linea 156: | ||
| Con queste ultime modifiche, anche lo stesso accesso alle pagine admin di MeterN e 123Solar passerà sotto il filtro di fail2ban e nel caso di 6 tentativi di accesso sbagliati, l’IP verrà bloccato. | Con queste ultime modifiche, anche lo stesso accesso alle pagine admin di MeterN e 123Solar passerà sotto il filtro di fail2ban e nel caso di 6 tentativi di accesso sbagliati, l’IP verrà bloccato. | ||
| - | ==== 2.6 Riavviare fail2ban ==== | + | ==== 1.1.6 Riavviare fail2ban ==== |
| Per applicare le nuove impostazioni è necessario riavviare fail2ban | Per applicare le nuove impostazioni è necessario riavviare fail2ban | ||
| <code> | <code> | ||
| - | sudo /etc/init.d/fail2ban restart | + | sudo systemctl restart fail2ban |
| </code> | </code> | ||
| - | ==== 2.7 Verifica controlli attivi ==== | + | ==== 1.1.7 Verifica controlli attivi ==== |
| A questo punto, se tutto è stato eseguito correttamente, lanciando il comando: | A questo punto, se tutto è stato eseguito correttamente, lanciando il comando: | ||
| <code> | <code> | ||
| - | iptables -L | + | sudo iptables -L |
| </code> | </code> | ||