Phenquestions
Všetky servery, ktoré sú prístupné z Internetu, sú vystavené riziku útokov škodlivého softvéru. Napríklad ak máte aplikáciu prístupnú z verejnej siete, útočníci môžu na získanie prístupu k aplikácii použiť pokusy hrubou silou.
Fail2ban je nástroj, ktorý pomáha chrániť váš počítač so systémom Linux pred hrubou silou a inými automatizovanými útokmi sledovaním škodlivých aktivít v protokoloch služieb. Na skenovanie súborov denníka používa regulárne výrazy. Spočítajú sa všetky záznamy zodpovedajúce vzorom a keď ich počet dosiahne určitú preddefinovanú hranicu, Fail2ban zakáže na určitú dobu útočnú IP pomocou systémového firewallu. Po uplynutí doby zákazu sa adresa IP odstráni zo zoznamu zákazov.
Tento článok vysvetľuje, ako nainštalovať a nakonfigurovať Fail2ban na Debiane 10.
Inštalácia Fail2ban na Debian #
Balík Fail2ban je súčasťou predvolených archívov Debianu 10. Ak ho chcete nainštalovať, spustite nasledujúci príkaz ako root alebo používateľ s oprávneniami sudo:
sudo apt aktualizáciasudo apt nainštalovať fail2ban
Po dokončení sa služba Fail2ban automaticky spustí. Môžete to overiť kontrolou stavu služby:
sudo systemctl status fail2banVýstup bude vyzerať takto:
● fail2ban.service - Fail2Ban Service Loaded: loaded (/ lib / systemd / system / fail2ban.služba; povolené; prednastavenie dodávateľa: povolené) Aktívne: aktívne (beží) od st 2021-03-10 18:57:32 UTC; Pred 47. rokmi… To je všetko. V tomto okamihu máte na serveri Debian spustený program Fail2Ban.
Konfigurácia Fail2ban #
Predvolená inštalácia Fail2ban je dodávaná s dvoma konfiguračnými súbormi, / etc / fail2ban / väzenie.konf a / etc / fail2ban / väzenie.d / defaults-debian.konf. Tieto súbory by ste nemali upravovať, pretože sa môžu pri aktualizácii balíka prepísať.
Fail2ban načíta konfiguračné súbory v nasledujúcom poradí. Každý .miestne súbor prepíše nastavenia z .konf spis:
/ etc / fail2ban / väzenie.konf/ etc / fail2ban / väzenie.d / *.konf/ etc / fail2ban / väzenie.miestne/ etc / fail2ban / väzenie.d / *.miestne
Najjednoduchší spôsob konfigurácie Fail2banu je skopírovanie súboru väzenie.konf do väzenie.miestne a upraviť .miestne spis. Pokročilejší používatelia si môžu zostaviť .miestne konfiguračný súbor od nuly. The .miestne súbor nemusí obsahovať všetky nastavenia z príslušného súboru .konf súbor, iba tie, ktoré chcete prepísať.
Vytvor .miestne konfiguračný súbor skopírovaním predvoleného väzenie.konf spis:
sudo cp / etc / fail2ban / jail.conf, localAk chcete začať konfigurovať otvorený server Fail2ban, kliknite na ikonu väzenie.miestne súbor s textovým editorom:
sudo nano / etc / fail2ban / jail.miestneSúbor obsahuje komentáre popisujúce, čo jednotlivé možnosti konfigurácie robia. V tomto príklade zmeníme základné nastavenia.
Zoznam povolených adries IP #
Adresy IP, rozsahy adries IP alebo hostitelia, ktorých chcete vylúčiť zo zákazu, je možné pridať do ignoreip smernice. Tu by ste mali pridať svoju miestnu adresu IP počítača a všetky ostatné zariadenia, ktoré chcete pridať na zoznam povolených.
Odkomentujte riadok začínajúci sa na ignoreip a pridajte svoje adresy IP oddelené medzerou:
ignoreip = 127.0.0.1/8 :: 1 123.123.123.123 192.168.1.0/24 Nastavenia zákazu #
bantime, nájsť čas, a maxretry možnosti nastaviť čas zákazu a podmienky zákazu.
bantime je doba, po ktorú je IP zakázaná. Ak nie je zadaná žiadna prípona, použije sa predvolená hodnota v sekundách. V predvolenom nastavení je bantime hodnota je nastavená na 10 minút. Väčšina používateľov uprednostňuje nastavenie dlhšieho času zákazu. Zmeňte hodnotu podľa svojich predstáv:
bantime = 1d Ak chcete adresu IP natrvalo zakázať, použite záporné číslo.
nájsť čas je doba medzi počtom zlyhaní pred nastavením zákazu. Napríklad ak je Fail2ban nastavený na zákaz IP po piatich zlyhaniach (maxretry, pozri nižšie), tieto poruchy sa musia vyskytnúť v rámci nájsť čas trvanie.
nájsť čas = 10 m maxretry je počet zlyhaní pred zakázaním adresy IP. Predvolená hodnota je nastavená na päť, čo by pre väčšinu používateľov malo byť v poriadku.
maxretry = 5 E-mailové upozornenia č
Fail2ban môže posielať e-mailové výstrahy, keď je zakázaná adresa IP. Ak chcete dostávať e-maily, musíte mať na serveri nainštalovaný SMTP a zmeniť predvolenú akciu, ktorá zakazuje iba IP na % (action_mw) s, ako je uvedené nižšie:
action =% (action_mw) s % (action_mw) s zakáže problematickú adresu IP a odošle e-mail s hlásením whois. Ak chcete do e-mailu zahrnúť príslušné denníky, nastavte akciu na % (action_mwl) s.
Môžete tiež zmeniť odosielaciu a prijímajúcu e-mailovú adresu:
/ etc / fail2ban / väzenie.miestnedestemail = admin @ linuxize.com sender = root @ linuxize.com Väzenia Fail2ban #
Fail2ban používa pojem väzenia. Väzenie popisuje službu a obsahuje filtre a akcie. Počítajú sa položky protokolu zodpovedajúce vzoru vyhľadávania a keď je splnená vopred definovaná podmienka, vykonajú sa príslušné akcie.
Fail2ban dodáva s mnohými väzeniami za rôzne služby. Môžete si tiež vytvoriť vlastnú konfiguráciu väzenia. V predvolenom nastavení je povolený iba väzenie ssh.
Ak chcete povoliť väzenie, musíte pridať enabled = true po titule väzenia. Nasledujúci príklad ukazuje, ako povoliť väzenie s príponou:
[postfix] enabled = true port = smtp, ssmtp filter = postfix logpath = / var / log / mail.log Nastavenia, o ktorých sme hovorili v predchádzajúcej časti, je možné nastaviť pre každé väzenie. Tu je príklad:
/ etc / fail2ban / väzenie.miestne[sshd] enabled = true maxretry = 3 findtime = 1d bantime = 4w ignoreip = 127.0.0.1/8 11.22.33.44 Filtre sú umiestnené v / etc / fail2ban / filter.d adresár uložený v súbore s rovnakým názvom ako väzenie. Ak máte vlastné nastavenie a skúsenosti s regulárnymi výrazmi, môžete doladiť filtre.
Pri každej zmene konfiguračného súboru musí byť služba Fail2ban reštartovaná, aby sa zmeny prejavili:
sudo systemctl restart fail2banFail2ban klient #
Fail2ban sa dodáva s názvom nástroja príkazového riadku fail2ban-client ktoré môžete použiť na interakciu so službou Fail2ban.
Ak chcete zobraziť všetky dostupné možnosti, vyvolajte príkaz pomocou -h možnosť:
fail2ban-client -hTento nástroj je možné použiť na zakázanie / zrušenie zákazu adries IP, zmenu nastavení, reštart služby a ďalšie. Tu je niekoľko príkladov:
Získať aktuálny stav servera:
stav sudo fail2ban-clientSkontrolujte stav väzenia:
sudo fail2ban-client status sshdZrušiť zákaz adresy IP:
sudo fail2ban-client set sshd unbanip 11.22.33.44Zakázať IP:
sudo fail2ban-client set sshd banip 11.22.33.44
Záver #
Ukázali sme vám, ako nainštalovať a nakonfigurovať Fail2ban na Debiane 10.
Ďalšie informácie o tejto téme nájdete v dokumentácii Fail2ban .
Ak máte otázky, neváhajte zanechať komentár nižšie.
