...
Schritt-für-Schritt-Anleitung
erforfderliche Schritte:
- fail2ban installieren
- Samba-Installation konfigurieren
- fail2ban konfigurieren
| Info |
|---|
| title | fail2ban installieren |
|---|
|
| Code Block |
|---|
| yum install fail2ban |
| Code Block |
|---|
| apt-get install fail2ban |
|
| Info |
|---|
|
Anpassen der Datei /etc/samba/smb.conf im Bereich Global | Code Block |
|---|
full_audit:failure = none
full_audit:success = pwrite write rename
full_audit:prefix = IP=%I|USER=%u|MACHINE=%m|VOLUME=%S
full_audit:facility = local7
full_audit:priority = NOTICE |
und bei jedem zu überwachenden Volume | Code Block |
|---|
vfs objects = full_audit |
|
| Info |
|---|
| title | fail2ban konfigurieren |
|---|
|
in der Datei /etc/fail2ban/filter.d/samba.conf folgende Filterdefinition setzen: | Code Block |
|---|
[Definition]
failregex = smbd.*\:\ IP=<HOST>\|.*\.locky$
smbd.*\:\ IP=<HOST>\|.*_Locky_recover_instructions\.txt$
ignoreregex = |
Scharf schalten kann man dies mit der Datei /etc/fail2ban/jail.d/samba.conf | Code Block |
|---|
[samba]
filter = samba
enabled = true
action = iptables-multiport[name=samba, port="135,139,445,137,138", protocol=tcp]
mail[name=samba, dest=admin@MYDOMAIN.DE]
logpath = /var/log/syslog
maxretry = 1 #Schon der erste Versuch ist strafbar
findtime = 600 #Schaut sich immer die letzen 10 Minuten an
bantime = 86400 #Ban für einen ganzen Tag |
|
Verwandte Artikel
| Filter by label (Content by label) |
|---|
| showLabels | false |
|---|
| max | 5 |
|---|
| spaces | intSec |
|---|
| showSpace | false |
|---|
| sort | modified |
|---|
| reverse | true |
|---|
| type | page |
|---|
| cql | label in ("locky","trojaner","erpressung") and type = "page" and space = "intSec" |
|---|
| labels | locky trojaner erpressung |
|---|
|
...
Erpressungs-Trojaner wie Locky aussperren