Един от най-често срещаните вектори за атака срещу сървъри е опитите за груба сила на влизане. Тук нападателите се опитват да получат достъп до вашия сървър, опитвайки безкрайни комбинации от потребителски имена и пароли.
За този вид проблеми най-бързото и ефективно решение е да се ограничи броят на опитите и да се блокира достъпът до потребителя или до този IP за определено време. Също така е важно да знаете, че за това има и приложения с отворен код, специално създадени за защита срещу този тип атака.
В днешната публикация, Ще ви представя един се казва Fail2Ban. Първоначално разработен от Кирил Джакиер през 2004 г., Fail2Ban е софтуерна рамка за предотвратяване на проникване, която предпазва сървърите от атаки с груба сила.
Относно Fail2ban
Fail2ban сканира регистрационни файлове (/ var / log / apache / error_log) и забранява IP адресите, които показват злонамерена дейност, като твърде много дефектни пароли и търсене на уязвимости и т.н.
Като цяло, Fail2Ban се използва за актуализиране на правилата на защитната стена за отхвърляне на IP адреси за определен период от време, въпреки че всяко друго произволно действие (например изпращане на имейл) също може да бъде конфигурирано.
Инсталиране на Fail2Ban на Linux
Fail2Ban се намира в повечето хранилища на основните дистрибуции на Linux и по-точно в най-използваните за използване на сървъри, като CentOS, RHEL и Ubuntu.
В случай на Ubuntu, просто напишете следното за инсталиране:
sudo apt-get update && sudo apt-get install -y fail2ban
Докато в случая на Centos и RHEL, те трябва да напишат следното:
yum install epel-release
yum install fail2ban fail2ban-systemd
Ако имате SELinux е важно да актуализирате политиките с:
yum update -y selinux-policy*
След като това бъде направено, те трябва да знаят на преден план, че конфигурационните файлове на Fail2Ban са в / etc / fail2ban.
Конфигурацията на Fail2Ban се разделя главно на два ключови файла; това са fail2ban.conf и jail.conf. fail2ban.confes по-големия конфигурационен файл Fail2Ban, където можете да конфигурирате настройки като:
- Нивото на дневника.
- Файлът за влизане.
- Файлът на процесното гнездо.
- Файлът pid.
jail.conf е мястото, където конфигурирате опции като:
- Конфигурацията на услугите за защита.
- Колко дълго да забраняват, ако трябва да бъдат атакувани.
- Имейл адресът за изпращане на отчети.
- Действието, което трябва да се предприеме при откриване на атака.
- Предварително зададен набор от настройки, като SSH.
конфигурация
Сега ще преминем към конфигурационната част, Първото нещо, което ще направим, е резервно копие на нашия файл jail.conf с:
cp -pf /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
И ние продължаваме да редактираме сега с nano:
nano /etc/fail2ban/jail.local
Вътре отиваме в раздела [По подразбиране], където можем да направим някои корекции.
Тук в частта "ingoreip" са IP адресите, които ще бъдат пропуснати и те ще бъдат напълно игнорирани от Fail2Ban, това е основно IP на сървъра (локалния) и останалите, които според вас трябва да бъдат игнорирани.
От там нататък останалите IP адреси, които имат неуспешен достъп, ще бъдат по силата на забрана и изчакайте колко секунди ще бъде забранен (по подразбиране е 3600 секунди) и че fail2ban действа само след 6 неуспешни опита
След общата конфигурация, сега ще посочим услугата. Fail2Ban вече има някои предварително дефинирани филтри за различни услуги. Така че просто направете някои адаптации. Ето пример:
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
Със съответните направени промени най-накрая ще трябва да презаредите Fail2Ban, който работи:
service fail2ban reload
systemctl enable firewalld
systemctl start firewalld
След като направим това, нека направим бърза проверка, за да видим дали Fail2Ban работи:
sudo fail2ban-client status
Дебанирайте IP
Сега, след като успешно забранихме IP, какво, ако искаме да забраним IP? За да направим това, можем отново да използваме fail2ban-client и да му кажем да дебанира определен IP, както в примера по-долу.
sudo fail2ban-client set ssh unbanip xxx.xxx.xx.xx
Където "ххх ...." Това ще бъде IP адресът, който посочвате.