Všetky servery, ktoré sú prístupné z Internetu, sú vystavené riziku útokov škodlivého softvéru. Napríklad ak máte aplikáciu prístupnú z verejnej siete, útočníci môžu na získanie prístupu k aplikácii použiť pokusy hrubou silou.
Fail2ban je nástroj, ktorý pomáha chrániť váš počítač so systémom Linux pred hrubou silou a inými automatizovanými útokmi sledovaním škodlivých aktivít v protokoloch služieb. Na skenovanie súborov denníka používa regulárne výrazy. Spočítajú sa všetky záznamy zodpovedajúce vzorom a keď ich počet dosiahne určitú preddefinovanú hranicu, Fail2ban zakáže na určitú dobu útočnú IP pomocou systémového firewallu. Po uplynutí doby zákazu sa adresa IP odstráni zo zoznamu zákazov.
Tento článok vysvetľuje, ako nainštalovať a nakonfigurovať Fail2ban na Debiane 10.
Inštalácia Fail2ban na Debian #
Balík Fail2ban je súčasťou predvolených archívov Debianu 10. Ak ho chcete nainštalovať, spustite nasledujúci príkaz ako root alebo používateľ s oprávneniami sudo:
sudo apt aktualizácia
sudo apt nainštalovať fail2ban
Po dokončení sa služba Fail2ban automaticky spustí. Môžete to overiť kontrolou stavu služby:
sudo systemctl status fail2ban
Výstup bude vyzerať takto:
● fail2ban.service - Fail2Ban Service Loaded: loaded (/ lib / systemd / system / fail2ban.služba; povolené; prednastavenie dodávateľa: povolené) Aktívne: aktívne (beží) od st 2021-03-10 18:57:32 UTC; Pred 47. rokmi…
To je všetko. V tomto okamihu máte na serveri Debian spustený program Fail2Ban.
Konfigurácia Fail2ban #
Predvolená inštalácia Fail2ban je dodávaná s dvoma konfiguračnými súbormi, / etc / fail2ban / väzenie.konf
a / etc / fail2ban / väzenie.d / defaults-debian.konf
. Tieto súbory by ste nemali upravovať, pretože sa môžu pri aktualizácii balíka prepísať.
Fail2ban načíta konfiguračné súbory v nasledujúcom poradí. Každý .miestne
súbor prepíše nastavenia z .konf
spis:
/ etc / fail2ban / väzenie.konf
/ etc / fail2ban / väzenie.d / *.konf
/ etc / fail2ban / väzenie.miestne
/ etc / fail2ban / väzenie.d / *.miestne
Najjednoduchší spôsob konfigurácie Fail2banu je skopírovanie súboru väzenie.konf
do väzenie.miestne
a upraviť .miestne
spis. Pokročilejší používatelia si môžu zostaviť .miestne
konfiguračný súbor od nuly. The .miestne
súbor nemusí obsahovať všetky nastavenia z príslušného súboru .konf
súbor, iba tie, ktoré chcete prepísať.
Vytvor .miestne
konfiguračný súbor skopírovaním predvoleného väzenie.konf
spis:
sudo cp / etc / fail2ban / jail.conf, local
Ak chcete začať konfigurovať otvorený server Fail2ban, kliknite na ikonu väzenie.miestne
súbor s textovým editorom:
sudo nano / etc / fail2ban / jail.miestne
Súbor obsahuje komentáre popisujúce, čo jednotlivé možnosti konfigurácie robia. V tomto príklade zmeníme základné nastavenia.
Zoznam povolených adries IP #
Adresy IP, rozsahy adries IP alebo hostitelia, ktorých chcete vylúčiť zo zákazu, je možné pridať do ignoreip
smernice. Tu by ste mali pridať svoju miestnu adresu IP počítača a všetky ostatné zariadenia, ktoré chcete pridať na zoznam povolených.
Odkomentujte riadok začínajúci sa na ignoreip
a pridajte svoje adresy IP oddelené medzerou:
ignoreip = 127.0.0.1/8 :: 1 123.123.123.123 192.168.1.0/24
Nastavenia zákazu #
bantime
, nájsť čas
, a maxretry
možnosti nastaviť čas zákazu a podmienky zákazu.
bantime
je doba, po ktorú je IP zakázaná. Ak nie je zadaná žiadna prípona, použije sa predvolená hodnota v sekundách. V predvolenom nastavení je bantime
hodnota je nastavená na 10 minút. Väčšina používateľov uprednostňuje nastavenie dlhšieho času zákazu. Zmeňte hodnotu podľa svojich predstáv:
bantime = 1d
Ak chcete adresu IP natrvalo zakázať, použite záporné číslo.
nájsť čas
je doba medzi počtom zlyhaní pred nastavením zákazu. Napríklad ak je Fail2ban nastavený na zákaz IP po piatich zlyhaniach (maxretry
, pozri nižšie), tieto poruchy sa musia vyskytnúť v rámci nájsť čas
trvanie.
nájsť čas = 10 m
maxretry
je počet zlyhaní pred zakázaním adresy IP. Predvolená hodnota je nastavená na päť, čo by pre väčšinu používateľov malo byť v poriadku.
maxretry = 5
E-mailové upozornenia č
Fail2ban môže posielať e-mailové výstrahy, keď je zakázaná adresa IP. Ak chcete dostávať e-maily, musíte mať na serveri nainštalovaný SMTP a zmeniť predvolenú akciu, ktorá zakazuje iba IP na % (action_mw) s
, ako je uvedené nižšie:
action =% (action_mw) s
% (action_mw) s
zakáže problematickú adresu IP a odošle e-mail s hlásením whois. Ak chcete do e-mailu zahrnúť príslušné denníky, nastavte akciu na % (action_mwl) s
.
Môžete tiež zmeniť odosielaciu a prijímajúcu e-mailovú adresu:
/ etc / fail2ban / väzenie.miestnedestemail = admin @ linuxize.com sender = root @ linuxize.com
Väzenia Fail2ban #
Fail2ban používa pojem väzenia. Väzenie popisuje službu a obsahuje filtre a akcie. Počítajú sa položky protokolu zodpovedajúce vzoru vyhľadávania a keď je splnená vopred definovaná podmienka, vykonajú sa príslušné akcie.
Fail2ban dodáva s mnohými väzeniami za rôzne služby. Môžete si tiež vytvoriť vlastnú konfiguráciu väzenia. V predvolenom nastavení je povolený iba väzenie ssh.
Ak chcete povoliť väzenie, musíte pridať enabled = true
po titule väzenia. Nasledujúci príklad ukazuje, ako povoliť väzenie s príponou:
[postfix] enabled = true port = smtp, ssmtp filter = postfix logpath = / var / log / mail.log
Nastavenia, o ktorých sme hovorili v predchádzajúcej časti, je možné nastaviť pre každé väzenie. Tu je príklad:
/ etc / fail2ban / väzenie.miestne[sshd] enabled = true maxretry = 3 findtime = 1d bantime = 4w ignoreip = 127.0.0.1/8 11.22.33.44
Filtre sú umiestnené v / etc / fail2ban / filter.d
adresár uložený v súbore s rovnakým názvom ako väzenie. Ak máte vlastné nastavenie a skúsenosti s regulárnymi výrazmi, môžete doladiť filtre.
Pri každej zmene konfiguračného súboru musí byť služba Fail2ban reštartovaná, aby sa zmeny prejavili:
sudo systemctl restart fail2ban
Fail2ban klient #
Fail2ban sa dodáva s názvom nástroja príkazového riadku fail2ban-client
ktoré môžete použiť na interakciu so službou Fail2ban.
Ak chcete zobraziť všetky dostupné možnosti, vyvolajte príkaz pomocou -h
možnosť:
fail2ban-client -h
Tento nástroj je možné použiť na zakázanie / zrušenie zákazu adries IP, zmenu nastavení, reštart služby a ďalšie. Tu je niekoľko príkladov:
Získať aktuálny stav servera:
stav sudo fail2ban-client
Skontrolujte stav väzenia:
sudo fail2ban-client status sshd
Zrušiť zákaz adresy IP:
sudo fail2ban-client set sshd unbanip 11.22.33.44
Zakázať IP:
sudo fail2ban-client set sshd banip 11.22.33.44
Záver #
Ukázali sme vám, ako nainštalovať a nakonfigurovať Fail2ban na Debiane 10.
Ďalšie informácie o tejto téme nájdete v dokumentácii Fail2ban .
Ak máte otázky, neváhajte zanechať komentár nižšie.