Llevaba un par de semanas probando fail2ban un programa GPL que monitoriza los registros (logs) y si detecta usuarios que fallan al autentificarse los expulsa añadiendo la IP al IPTables (el cortafuegos de GNU/Linux). Tenía pendiente recomendarlo y un comentario de Ricardo Galli en el nótame me lo ha recordado ("tengo instalado el fail2ban es muy bueno").
Por defecto está preparado para leer de los registros de Apache, ssh y vsftpd (un servidor ftp bastante popular). Las acciones que puedes realizar entre otras son añadir la IP a IPTables, añadirla como regla al hostdeny o enviar una notificación por email.
Este tipo de software suele ser muy útil sobretodo para descartar ataques de fuerza bruta (si ya cuesta encontrar una contraseña compleja, no digamos si cada dos o tres intentos te expulsan mínimo diez minutos) e incluso puede reducir la congestión que genera un ataque de este tipo.
Otra ventaja que tiene: es fácilmente extensible, solamente hace faltar un registro en ASCII y/o un filtro para leerlo. Y está en el repositorio de Debian ;)
Comentarios