Jedan od najčešćih vektora napada na servere su pokušaji brutalne prijave. Ovdje napadači pokušavaju pristupiti vašem serveru, pokušavajući bezbrojne kombinacije korisničkih imena i lozinki.
Za takve probleme najbrže i najefikasnije rješenje je ograničiti broj pokušaja i blokirati pristup korisniku ili toj IP određeno vrijeme. Također je važno znati da za to postoje i aplikacije otvorenog koda posebno dizajnirane za obranu od ove vrste napada.
U današnjem postu, Predstaviću vam da se jedna zove Fail2Ban. Izvorno razvijen od strane Cyrila Jaquiera 2004. godine, Fail2Ban je softverski okvir za sprečavanje upada koji štiti servere od napada grubom silom.
O Fail2banu
Fail2ban skenira datoteke dnevnika (/ var / log / apache / error_log) i zabranjuje IP adrese koje pokazuju zlonamjerne aktivnosti, poput previše neispravnih lozinki i traženja ranjivosti itd.
Generalno, Fail2Ban se koristi za ažuriranje pravila vatrozida kako bi se odbacile IP adrese određeno vrijeme, iako se može konfigurirati i bilo koja druga proizvoljna radnja (na primjer, slanje e-pošte).
Instaliranje Fail2Ban na Linux
Fail2Ban se nalazi u većini spremišta glavnih Linux distribucija, tačnije u najčešće korištenim za upotrebu na serverima, kao što su CentOS, RHEL i Ubuntu.
U slučaju Ubuntu-a, samo upišite sljedeće za instalaciju:
sudo apt-get update && sudo apt-get install -y fail2ban
U slučaju Centos-a i RHEL-a, oni moraju upisati sljedeće:
yum install epel-release
yum install fail2ban fail2ban-systemd
Ako imate SELinux, važno je ažurirati politike sa:
yum update -y selinux-policy*
Jednom kad se to učini, oni bi u prvom planu trebali znati da su datoteke za konfiguraciju Fail2Ban u / etc / fail2ban.
Konfiguracija Fail2Ban je uglavnom podijeljen u dvije ključne datoteke; to su fail2ban.conf i jail.conf. fail2ban.confes veću fajl konfiguracijsku datoteku Fail2Ban, gdje možete konfigurirati postavke kao što su:
- Razina dnevnika.
- Datoteka za prijavu.
- Datoteka procesne utičnice.
- Datoteka pid.
jail.conf je mjesto gdje konfigurirate opcije poput:
- Konfiguracija usluga za odbranu.
- Koliko dugo zabraniti ako ih treba napasti.
- Adresa e-pošte za slanje izvještaja.
- Akcija koju treba poduzeti kada se otkrije napad.
- Unaprijed definirani skup postavki, kao što je SSH.
konfiguracija
Sada ćemo prijeći na dio za konfiguraciju, Prvo što ćemo napraviti je sigurnosna kopija naše datoteke jail.conf sa:
cp -pf /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
I nastavljamo s uređivanjem sada sa nano:
nano /etc/fail2ban/jail.local
Unutra idemo na odjeljak [Default] (Podrazumijevano) gdje možemo izvršiti neke prilagodbe.
Ovdje su u "ingoreip" dijelu IP adrese koje će biti izostavljene a Fail2Ban će ih potpuno ignorirati, to je u osnovi IP poslužitelja (lokalni) i ostale za koje mislite da ih treba zanemariti.
Odatle nadalje ostale IP adrese kojima pristup nije uspio bit će prepuštene milosti zabrane i pričekajte koliko će sekundi biti zabranjeno (po defaultu je 3600 sekundi) i da fail2ban djeluje samo nakon 6 neuspjelih pokušaja
Nakon opće konfiguracije, sada ćemo naznačiti uslugu. Fail2Ban već ima neke unaprijed definirane filtre za razne usluge. Zato samo napravite neke adaptacije. Evo primjera:
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
S izvršenim relevantnim promjenama, napokon ćete trebati ponovno učitati Fail2Ban, koji radi:
service fail2ban reload
systemctl enable firewalld
systemctl start firewalld
Nakon ovoga, napravimo brzu provjeru da vidimo da li je Fail2Ban pokrenut:
sudo fail2ban-client status
Zabranite pristup IP-u
Sad kad smo uspješno zabranili IP, što ako želimo zabraniti IP? Da bismo to učinili, možemo opet koristiti fail2ban-client i reći mu da zabrani određenu IP adresu, kao u donjem primjeru.
sudo fail2ban-client set ssh unbanip xxx.xxx.xx.xx
Gdje je "xxx ...." To će biti IP adresa koju ste naveli.