من أكثر نواقل الهجوم شيوعًا على الخوادم محاولات تسجيل الدخول بالقوة الغاشمة. هذا هو المكان الذي يحاول فيه المهاجمون الوصول إلى الخادم الخاص بك ، في محاولة لاستخدام مجموعات لا حصر لها من أسماء المستخدمين وكلمات المرور.
لهذه الأنواع من المشاكل الحل الأسرع والأكثر فاعلية هو الحد من عدد المحاولات وحظر الوصول إلى المستخدم أو عنوان IP هذا لبعض الوقت. من المهم أيضًا معرفة أنه لهذا الغرض توجد أيضًا تطبيقات مفتوحة المصدر مصممة خصيصًا للدفاع ضد هذا النوع من الهجوم.
في منشور اليوم ، سأقدم لكم واحدة تسمى Fail2Ban. تم تطوير Fail2004Ban في الأصل بواسطة Cyril Jaquier في عام 2 ، وهو إطار برنامج لمنع التطفل يحمي الخوادم من هجمات القوة الغاشمة.
حول Fail2ban
يفحص Fail2ban ملفات السجل (/ var / log / apache / error_log) ويحظر عناوين IP التي تظهر نشاطًا ضارًا ، مثل الكثير من كلمات المرور الخاطئة والبحث عن نقاط الضعف وما إلى ذلك.
بشكل عام، يتم استخدام Fail2Ban لتحديث قواعد جدار الحماية لرفض عناوين IP لفترة زمنية محددة ، على الرغم من أنه يمكن أيضًا تكوين أي إجراء تعسفي آخر (على سبيل المثال ، إرسال بريد إلكتروني).
تثبيت Fail2Ban على لينكس
تم العثور على Fail2Ban في معظم مستودعات توزيعات Linux الرئيسية وبشكل أكثر تحديدًا في أكثرها استخدامًا على الخوادم ، مثل CentOS و RHEL و Ubuntu.
في حالة Ubuntu ، فقط اكتب ما يلي للتثبيت:
sudo apt-get update && sudo apt-get install -y fail2ban
بينما في حالة Centos و RHEL ، يجب كتابة ما يلي:
yum install epel-release
yum install fail2ban fail2ban-systemd
إذا كان لديك SELinux ، فمن المهم تحديث السياسات بـ:
yum update -y selinux-policy*
بمجرد الانتهاء من ذلك ، يجب أن يعرفوا في المقدمة أن ملفات تكوين Fail2Ban موجودة في / etc / fail2ban.
تكوين ينقسم Fail2Ban بشكل أساسي إلى ملفين رئيسيين؛ هذه هي fail2ban.conf و jail.conf. fail2ban.confes ملف تكوين Fail2Ban الأكبر حجمًا ، حيث يمكنك تكوين إعدادات مثل:
- مستوى السجل.
- ملف تسجيل الدخول.
- ملف مأخذ التوصيل العملية.
- معرف الملف.
jail.conf هو المكان الذي تقوم فيه بتهيئة خيارات مثل:
- تكوين الخدمات للدفاع.
- ما هي مدة الحظر إذا كان يجب مهاجمتهم.
- عنوان البريد الإلكتروني لإرسال التقارير.
- الإجراء الذي يجب اتخاذه عند اكتشاف هجوم.
- مجموعة محددة مسبقًا من الإعدادات ، مثل SSH.
ترتيب
سننتقل الآن إلى جزء التكوين ، أول شيء سنفعله هو نسخة احتياطية من ملف jail.conf الخاص بنا مع:
cp -pf /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
وننتقل إلى التحرير الآن باستخدام nano:
nano /etc/fail2ban/jail.local
في الداخل نذهب إلى قسم [افتراضي] حيث يمكننا إجراء بعض التعديلات.
هنا في الجزء "ingoreip" توجد عناوين IP التي سيتم استبعادها وسيتم تجاهلها تمامًا بواسطة Fail2Ban ، وهذا هو أساسًا عنوان IP الخاص بالخادم (العنوان المحلي) والآخرين الذين تعتقد أنه يجب تجاهلهم.
من هناك إلى الخارج ستكون عناوين IP الأخرى التي فشلت في الوصول تحت رحمة الحظر وانتظر عدد الثواني التي سيتم حظره فيها (افتراضيًا هو 3600 ثانية) وأن fail2ban لا يعمل إلا بعد 6 محاولات فاشلة
بعد التكوين العام ، سنشير الآن إلى الخدمة. يحتوي Fail2Ban بالفعل على بعض عوامل التصفية المحددة مسبقًا لخدمات متنوعة. لذلك فقط قم ببعض التعديلات. هنا مثال:
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
مع التغييرات ذات الصلة التي تم إجراؤها ، ستحتاج أخيرًا إلى إعادة تحميل Fail2Ban ، قيد التشغيل:
service fail2ban reload
systemctl enable firewalld
systemctl start firewalld
بعد الانتهاء من ذلك ، دعنا نقوم بفحص سريع لنرى أن Fail2Ban قيد التشغيل:
sudo fail2ban-client status
إلغاء حظر IP
الآن وقد نجحنا في حظر IP ، ماذا لو أردنا إلغاء حظر IP؟ للقيام بذلك ، يمكننا مرة أخرى استخدام fail2ban-client وإخباره بفك حظر عنوان IP محدد ، كما في المثال أدناه.
sudo fail2ban-client set ssh unbanip xxx.xxx.xx.xx
حيث "xxx ...." سيكون عنوان IP الذي تشير إليه.