Hay que ver cómo está el patio, ¡la máquina encendida llevaba cinco minutos encendida! Así que después de cambiar en el servicio SSH que solo se pueda autenticar mediante claves, lo siguiente ha sido instalar Fail2ban.

Instalación de Fail2ban en CentOS

El primer paso es instalar el repositorio EPEL, si no lo tiene hecho ya, claro.

dnf install epel-repo

Después tenemos que instalar el paquete fail2ban.

dnf install fail2ban

Configuración de Fail2ban

En mi caso, al menos por ahora, voy a dejar la configuración por defecto. En el fichero /etc/fail2ban/jail.conf, está toda la configuración por si queréis modificarla.

Creación de la jaula para SSHD

Hay que crear el fichero que contendrá la configuración de la jaula para el servicio SSHD. Creamos el fichero /etc/fail2ban/jail.d/sshd.local y dentro ponemos el siguiente contenido:

[sshd]
enabled = true

Activación del servicio Fail2ban

Una vez que hemos completado la configuración de Fail2ban, lo siguiente es activar el servicio para que empiece a vigilar por nosotros. 😉

systemctl enable --now fail2ban
Created symlink /etc/systemd/system/multi-user.target.wants/fail2ban.service → /usr/lib/systemd/system/fail2ban.service.

Verificación del estado del servicio Fail2ban

Verificamos que se ha iniciado correctamente con la jaula definida.

fail2ban-client status
Status
|- Number of jail:    1
`- Jail list:    sshd

Comprobamos cómo va la cosa

Dejamos pasar un par de minutos y vamos a ver cuántas IP bloqueadas tenemos.

fail2ban-client get sshd banned
['xxx.xxx.xxx.xxx', 'xx.xx.xx.xxx', 'xx.xx.xxx.xxx', 'xxx.xxx.xxx.xxx', 'xx.xx.xxx.xxx', 'xxx.xxx.xxx.xxx', 'xx.xxx.xxx.xxx', 'xx.xxx.xxx.xx', 'xxx.xxx.xx.xx', 'xx.xx.xxx.xxx']

Escenario

En nuestro escenario partimos de la presencia de un servidor con dos interfaces de red, la primera en la red 10.0.2.0/24 que tiene la puerta de enlace por defecto en la IP 10.0.2.2, vamos a llamarla “red pública”, y la segunda en la red 192.168.56.20/24, vamos a llamarla “red de gestión”. Queremos que todo el tráfico de la red de gestión se enrute por la segunda interfaz por temas de seguridad.

[root@routes ~]# ip addr show | grep "inet\b" | awk '{print $2" "$NF}'
127.0.0.1/8 lo
10.0.2.15/24 enp0s3
192.168.56.22/24 enp0s8
[root@routes ~]# ip route|grep default
default via 10.0.2.2 dev enp0s3 proto static metric 100 

Instrucciones

Antes de comenzar a configurar PBR, en CentOS 7 es necesario instalar el siguiente paquete:

[root@routes ~]# yum install -y NetworkManager-dispatcher-routing-rules

El siguiente paso es crear la entrada de la política de enrutado:

[root@routes ~]# echo "2 mgt" >> /etc/iproute2/rt_tables

El siguiente paso es crear las reglas para la interfaz enp0s8:

[root@routes ~]# vi /etc/sysconfig/network-scripts/rule-enp0s8
from 192.168.56.22/32 table mgt
to 192.168.56.22/32 table mgt

El siguiente paso es crear la ruta por defecto para la interfaz enp0s8:

[root@routes ~]# vi /etc/sysconfig/network-scripts/route-enp0s8
default via 192.168.56.21 dev enp0s8 table mgt

Una vez configurado todo, tenemos que recargar la configuración para hacerla efectiva:

[root@routes ~]# nmcli connection reload

Comrpobamos que todo está configurado según esperabamos:

[root@routes ~]# ip rule show
0:	from all lookup local 
32764:	from all to 192.168.56.22 lookup mgt
32765:	from 192.168.56.22 lookup mgt 
32766:	from all lookup main 
32767:	from all lookup default
[root@routes ~]# ip route show table mgt
default via 192.168.56.21 dev enp0s8