Checklist de Segurança: Fail2ban vs CSF para proteger servidores Linux

18 min de leitura  ·  Guia técnico

Checklist de Segurança: Fail2ban vs CSF são duas ferramentas essenciais para proteger servidores Linux contra ataques. O Fail2ban monitora logs e bloqueia IPs maliciosos temporariamente, enquanto o CSF oferece um firewall completo com recursos avançados de segurança. A escolha entre eles depende das necessidades específicas de proteção do seu servidor.

Pré-requisitos

• Acesso root ou sudo ao servidor Linux
• Sistema operacional Linux (Ubuntu, CentOS, Debian)
• Conhecimentos básicos de administração de servidores Linux
• Acesso SSH ao servidor
• Firewall iptables instalado (pré-instalado na maioria das distribuições)

Entendendo o Fail2ban: recursos e funcionamento

O Fail2ban é uma ferramenta de segurança que monitora arquivos de log em busca de padrões suspeitos e bloqueia temporariamente endereços IP que demonstram comportamento malicioso. Seu principal objetivo é prevenir ataques de força bruta, escaneamento de portas e outras tentativas de invasão.

O funcionamento do Fail2ban baseia-se em três componentes principais:

• Filtros: expressões regulares que analisam logs em busca de padrões de ataque
• Jails (prisões): configurações que definem quais filtros usar, por quanto tempo bloquear e quais ações tomar
• Ações: comandos executados quando um IP é bloqueado ou desbloqueado

Para instalar o Fail2ban no Ubuntu ou Debian, execute:

sudo apt update
sudo apt install fail2ban -y

No CentOS/RHEL, use:

sudo yum install epel-release -y
sudo yum install fail2ban -y

Após a instalação, o serviço precisa ser iniciado e habilitado para iniciar com o sistema:

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

A configuração principal do Fail2ban fica em /etc/fail2ban/jail.conf, mas é recomendado criar um arquivo jail.local para sobrescrever as configurações padrão:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local

Uma configuração básica para proteger SSH pode ser:

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600
findtime = 600

Esta configuração bloqueia um IP por 1 hora (3600 segundos) se houver 3 tentativas falhas de login em 10 minutos (600 segundos).

Conhecendo o CSF: recursos e funcionamento

O ConfigServer Security & Firewall (CSF) é uma solução de segurança mais abrangente que combina um firewall stateful com detecção de intrusão. Diferentemente do Fail2ban, o CSF oferece um conjunto completo de ferramentas de segurança em um único pacote.

Os principais recursos do CSF incluem:

• Firewall baseado em iptables com configuração simplificada
• Login Failure Daemon (LFD) para monitoramento de logs
• Proteção contra ataques SYN flood e DoS
• Verificação de processos suspeitos
• Monitoramento de alterações em arquivos críticos
• Interface web para gerenciamento (quando integrado com cPanel/WHM)

Para instalar o CSF, primeiro instale as dependências necessárias:

No Ubuntu/Debian:

sudo apt update
sudo apt install perl libwww-perl libnet-ssleay-perl libnet-libidn-perl libio-socket-ssl-perl libpam-dev libwww-perl libnet-dns-perl -y

No CentOS/RHEL:

sudo yum install perl-libwww-perl perl-Net-SSLeay perl-Net-LibIDN perl-IO-Socket-SSL perl-Net-DNS -y

Agora, baixe e instale o CSF:

cd /usr/src
sudo wget https://download.configserver.com/csf.tgz
sudo tar -xzf csf.tgz
cd csf
sudo sh install.sh

Após a instalação, verifique se o sistema é compatível com o CSF:

sudo perl /usr/local/csf/bin/csftest.pl

O output esperado deve mostrar que todos os testes foram aprovados:

Testing ip_tables/iptable_filter...OK
Testing ipt_LOG...OK
Testing ipt_multiport/xt_multiport...OK
Testing ipt_REJECT...OK
Testing ipt_state/xt_state...OK
Testing ipt_limit/xt_limit...OK
Testing ipt_recent...OK
Testing xt_connlimit...OK
Testing ipt_owner/xt_owner...OK
Testing iptable_nat/ipt_REDIRECT...OK
Testing iptable_nat/ipt_DNAT...OK

RESULT: csf should function on this server

Para habilitar o CSF (desativando o modo de teste), edite o arquivo de configuração:

sudo nano /etc/csf/csf.conf

Altere a linha TESTING = "1" para TESTING = "0" e salve o arquivo. Em seguida, reinicie o CSF:

sudo csf -r

Comparação detalhada: Fail2ban vs CSF

A escolha entre Fail2ban e CSF depende das necessidades específicas de segurança do seu servidor. Vamos comparar as duas ferramentas em vários aspectos:

Facilidade de instalação e configuração

Fail2ban: Mais simples de instalar e configurar, especialmente para iniciantes. A configuração é baseada em arquivos de texto com sintaxe clara.

CSF: Requer mais dependências e tem uma configuração mais complexa, mas oferece uma interface web quando usado com cPanel/WHM.

Recursos de segurança

Fail2ban:

• Foco em bloqueio de IPs baseado em análise de logs
• Proteção contra ataques de força bruta
• Configuração flexível por serviço
• Bloqueios temporários com duração configurável

CSF:

• Firewall completo com regras avançadas
• Detecção de intrusão
• Proteção contra ataques DoS/DDoS
• Monitoramento de processos
• Verificação de integridade de arquivos
• Listas de bloqueio globais
• Alertas em tempo real

Consumo de recursos

Fail2ban: Mais leve, consome menos recursos do sistema. Ideal para servidores com recursos limitados.

CSF: Mais pesado devido à maior quantidade de recursos e monitoramento constante. Pode consumir mais CPU e memória, especialmente em servidores com alto tráfego.

Integração com painéis de controle

Fail2ban: Não possui integração nativa com painéis de controle, embora existam plugins de terceiros para alguns painéis.

CSF: Integração nativa com cPanel/WHM, Plesk e DirectAdmin, oferecendo interface gráfica para gerenciamento.

Flexibilidade e personalização

Fail2ban: Altamente personalizável através de filtros e ações customizadas. Fácil de adaptar para serviços específicos.

CSF: Oferece mais opções de configuração, mas pode ser mais complexo para personalizar funcionalidades específicas.

Implementando uma estratégia de segurança com Fail2ban

Para implementar uma estratégia eficaz de segurança com Fail2ban, siga estas etapas:

1. Identifique os serviços críticos que precisam de proteção (SSH, FTP, HTTP, etc.)
2. Configure jails específicos para cada serviço
3. Ajuste os parâmetros de acordo com suas necessidades
4. Implemente notificações para alertas de segurança

Vamos configurar proteção para múltiplos serviços. Edite o arquivo /etc/fail2ban/jail.local:

sudo nano /etc/fail2ban/jail.local

Adicione as seguintes configurações:

[DEFAULT]
# Enviar e-mails para notificação
destemail = [email protected]
sender = [email protected]
mta = sendmail
action = %(action_mwl)s

# SSH
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600
findtime = 600

# FTP
[pure-ftpd]
enabled = true
port = ftp
filter = pure-ftpd
logpath = /var/log/syslog
maxretry = 5
bantime = 3600

# Apache
[apache-auth]
enabled = true
port = http,https
filter = apache-auth
logpath = /var/log/apache2/error.log
maxretry = 5
bantime = 7200

# WordPress login
[wordpress]
enabled = true
port = http,https
filter = wordpress-auth
logpath = /var/www/*/logs/access.log
maxretry = 5
bantime = 7200

Para o filtro WordPress, crie um arquivo personalizado:

sudo nano /etc/fail2ban/filter.d/wordpress-auth.conf

Adicione o seguinte conteúdo:

[Definition]
failregex = ^ .* "POST /wp-login.php
            ^ .* "POST /xmlrpc.php
ignoreregex =

Reinicie o Fail2ban para aplicar as alterações:

sudo systemctl restart fail2ban

Para verificar o status e os IPs bloqueados:

sudo fail2ban-client status
sudo fail2ban-client status sshd

Implementando uma estratégia de segurança com CSF

O CSF oferece uma abordagem mais abrangente para segurança. Siga estas etapas para uma implementação eficaz:

1. Configure as regras de firewall para permitir apenas o tráfego necessário
2. Ajuste as configurações de detecção de intrusão
3. Configure o monitoramento de processos
4. Implemente alertas e notificações

Edite o arquivo de configuração principal do CSF:

sudo nano /etc/csf/csf.conf

Ajuste as seguintes configurações importantes:

# Portas de entrada permitidas (TCP)
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995,2083,2087,2096"

# Portas de saída permitidas (TCP)
TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"

# Portas de entrada permitidas (UDP)
UDP_IN = "20,21,53"

# Portas de saída permitidas (UDP)
UDP_OUT = "20,21,53,113,123"

# Bloqueio de IPs após tentativas falhas de login
LF_SSHD = "5"
LF_FTPD = "5"
LF_CPANEL = "5"
LF_DIRECTADMIN = "5"

# Tempo de bloqueio (em segundos)
BAN_TIME = "3600"

# Ativar proteção contra port scanning
PORTFLOOD = "22;tcp;5;300,80;tcp;20;5"

# Ativar proteção contra SYN flood
SYNFLOOD = "1"
SYNFLOOD_RATE = "100/s"
SYNFLOOD_BURST = "150"

# Configurar e-mail para alertas
LF_ALERT_TO = "[email protected]"
LF_ALERT_FROM = "[email protected]"

# Ativar verificação de processos suspeitos
PT_USERPROC = "10"
PT_USERMEM = "200"
PT_USERTIME = "1800"

# Ativar verificação de alterações em arquivos
LF_INTEGRITY = "1"
LF_INTEGRITYSCAN = "1800"
LF_INTEGRITY_IGNORE = "/tmp/ /var/tmp/ /dev/shm/"

Após fazer as alterações, reinicie o CSF:

sudo csf -r

Para verificar o status do CSF e os IPs bloqueados:

sudo csf -l

Para temporariamente permitir um IP:

sudo csf -a IP_ADDRESS "Descrição"

Para bloquear permanentemente um IP:

sudo csf -d IP_ADDRESS "Descrição"

Checklist de segurança: qual ferramenta escolher?

Para ajudar na decisão entre Fail2ban e CSF, use este checklist de segurança baseado nas necessidades do seu servidor:

Escolha o Fail2ban se:

• Você precisa de uma solução leve e focada em bloqueio de IPs
• Seu servidor tem recursos limitados
• Você já possui outro firewall configurado
• Você precisa de proteção específica para determinados serviços
• Você prefere uma configuração mais simples e direta

Escolha o CSF se:

• Você precisa de uma solução completa de firewall + detecção de intrusão
• Seu servidor tem recursos suficientes para suportar mais monitoramento
• Você utiliza cPanel, Plesk ou DirectAdmin e deseja integração
• Você precisa de proteção contra ataques DDoS e SYN flood
• Você deseja monitoramento de processos e verificação de integridade

Para uma proteção ideal, considere esta matriz de decisão:

• Servidor VPS pequeno (1-2 GB RAM): Fail2ban
• Servidor VPS médio (4-8 GB RAM): CSF ou combinação de ambos
• Servidor dedicado: CSF ou combinação de ambos
• Servidor de hospedagem compartilhada: CSF
• Servidor com cPanel/WHM: CSF (pela integração nativa)
• Servidor sem painel de controle: Fail2ban (mais simples de configurar manualmente)

Usando Fail2ban e CSF juntos: configuração avançada

Para uma proteção máxima, é possível usar Fail2ban e CSF juntos, aproveitando os pontos fortes de cada ferramenta. Aqui está como configurá-los para trabalhar em harmonia:

1. Instale ambas as ferramentas seguindo as instruções anteriores
2. Configure o CSF como firewall principal e para proteção contra DDoS
3. Configure o Fail2ban para monitorar serviços específicos e notificar o CSF

Para integrar o Fail2ban com o CSF, crie uma ação personalizada no Fail2ban:

sudo nano /etc/fail2ban/action.d/csf.conf

Adicione o seguinte conteúdo:

[Definition]
actionstart = 
actionstop = 
actioncheck = 
actionban = /usr/sbin/csf -d  "Banned by Fail2Ban for  after  failures"
actionunban = /usr/sbin/csf -dr 

[Init]

Agora, edite o arquivo jail.local para usar a ação CSF:

sudo nano /etc/fail2ban/jail.local

Modifique a seção DEFAULT:

[DEFAULT]
banaction = csf

Reinicie o Fail2ban:

sudo systemctl restart fail2ban

Com esta configuração, o Fail2ban detectará comportamentos suspeitos e instruirá o CSF a bloquear os IPs maliciosos, combinando a detecção precisa do Fail2ban com o firewall robusto do CSF.

Problemas comuns e como resolver

Sintoma: Fail2ban não está bloqueando IPs maliciosos

Causa: Configuração incorreta de filtros ou caminhos de log inválidos.
Solução: Verifique se os caminhos dos arquivos de log estão corretos em jail.local. Use o comando fail2ban-regex para testar seus filtros contra logs reais: sudo fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf.

Sintoma: CSF bloqueia IPs legítimos

Causa: Configurações muito restritivas ou falsos positivos na detecção de intrusão.
Solução: Adicione IPs confiáveis à lista de permissões em /etc/csf/csf.allow. Ajuste os parâmetros LF_* no arquivo csf.conf para reduzir a sensibilidade. Verifique os logs em /var/log/lfd.log para entender o motivo dos bloqueios.

Sintoma: Conflitos entre Fail2ban e CSF

Causa: Ambas as ferramentas tentando modificar as mesmas regras de firewall simultaneamente.
Solução: Configure o Fail2ban para usar a ação CSF personalizada conforme mostrado na seção anterior. Isso fará com que o Fail2ban instrua o CSF a bloquear IPs em vez de modificar diretamente o iptables.

Sintoma: Alto consumo de CPU pelo CSF

Causa: Verificações muito frequentes ou configurações de monitoramento intensivas.
Solução: Ajuste os intervalos de verificação no arquivo csf.conf. Aumente os valores de PT_USERMEM, LF_INTEGRITYSCAN e outros parâmetros de verificação para reduzir a frequência. Desative recursos não essenciais se o servidor tiver recursos limitados.

Sintoma: Serviços legítimos sendo bloqueados

Causa: Regras de firewall muito restritivas ou falsos positivos.
Solução: Verifique e ajuste as portas permitidas nas configurações TCP_IN e UDP_IN no arquivo csf.conf. Adicione exceções para serviços específicos. No Fail2ban, ajuste o parâmetro maxretry para um valor mais alto ou adicione IPs confiáveis à ignoreip.

Perguntas frequentes sobre Checklist de Segurança: Fail2ban vs CSF

O Fail2ban e o CSF podem ser usados simultaneamente?

Sim, é possível usar Fail2ban e CSF simultaneamente, mas requer configuração cuidadosa para evitar conflitos. O ideal é configurar o Fail2ban para notificações e monitoramento, enquanto o CSF gerencia o firewall e bloqueios, garantindo que não haja regras duplicadas ou contraditórias.

Qual ferramenta consome menos recursos do servidor?

O Fail2ban geralmente consome menos recursos do sistema por ser mais leve e focado apenas em monitoramento de logs e bloqueio de IPs. O CSF, por ser uma solução mais completa com firewall e recursos adicionais, tende a utilizar mais recursos de CPU e memória, especialmente em servidores com alto tráfego.

É possível migrar do Fail2ban para o CSF sem downtime?

Sim, é possível migrar do Fail2ban para o CSF sem downtime significativo. O processo envolve instalar o CSF, configurá-lo adequadamente, verificar se as regras estão funcionando corretamente e só então desativar o Fail2ban. Durante a transição, mantenha ambos ativos para garantir proteção contínua.

O CSF é compatível com todos os painéis de controle de hospedagem?

O CSF é compatível com a maioria dos painéis de controle populares, incluindo cPanel, Plesk e DirectAdmin, que oferecem integração nativa. Para outros painéis como Webmin e VestaCP, existem plugins disponíveis. Em painéis personalizados, o CSF pode ser instalado manualmente e gerenciado via linha de comando.

Qual das ferramentas oferece melhor proteção contra ataques DDoS?

O CSF oferece melhor proteção contra ataques DDoS por incluir recursos específicos como limitação de conexões, proteção SYN flood e regras de firewall avançadas. O Fail2ban, sendo principalmente uma ferramenta de bloqueio baseada em logs, não é projetado especificamente para mitigar ataques DDoS e oferece proteção limitada contra esse tipo de ameaça.

Conclusão

• O Fail2ban é ideal para servidores com recursos limitados e quando você precisa de uma solução focada em bloqueio de IPs baseado em logs.
• O CSF oferece uma solução mais completa com firewall, detecção de intrusão e monitoramento de processos, sendo ideal para servidores que precisam de proteção abrangente.
• Para proteção máxima, considere usar ambas as ferramentas juntas, com o Fail2ban para detecção precisa e o CSF para implementação de bloqueios e firewall.

Independentemente da ferramenta escolhida, lembre-se de que a segurança do servidor é um processo contínuo que requer monitoramento regular, atualizações e ajustes nas configurações conforme as ameaças evoluem.

Precisa de ajuda com segurança em servidores Linux?

Na AviraHost, oferecemos servidores VPS e dedicados com configurações de segurança otimizadas para proteger seus dados e aplicações. Nossa equipe de especialistas pode ajudar na implementação e configuração das melhores ferramentas de segurança para seu ambiente.

Conheça nossos planos de Servidor VPS com segurança reforçada