Fail2Ban ist eine hervorragende Option, um Brute-Force-Angriffe auf Ihren Server abzuwehren

Darkcrizt

4 Minuten

fail2ban

Einer der häufigsten Angriffsmethoden gegen Server sind Brute-Force-Anmeldeversuche. Hier versuchen Angreifer, auf Ihren Server zuzugreifen, und versuchen unendlich viele Kombinationen von Benutzernamen und Passwörtern.

Für diese Art von Problemen Die schnellste und effektivste Lösung besteht darin, die Anzahl der Versuche zu begrenzen und den Zugriff auf den Benutzer oder diese IP zu blockieren für eine bestimmte Zeit. Es ist auch wichtig zu wissen, dass es dafür auch Open-Source-Anwendungen gibt, die speziell zur Abwehr dieser Art von Angriffen entwickelt wurden.

In der heutigen Post, Ich werde Ihnen einen vorstellen, der Fail2Ban heißt. Fail2004Ban wurde 2 von Cyril Jaquier entwickelt und ist ein Software-Framework zur Verhinderung von Eindringlingen, das Server vor Brute-Force-Angriffen schützt.

Über Fail2ban

Fail2ban scannt Protokolldateien (/ var / log / apache / error_log) und verbietet IPs, die böswillige Aktivitäten zeigen, wie zu viele fehlerhafte Passwörter und die Suche nach Schwachstellen usw.

Insgesamt Fail2Ban wird verwendet, um die Firewall-Regeln zu aktualisieren und IP-Adressen abzulehnen für eine bestimmte Zeitspanne, obwohl auch jede andere willkürliche Aktion (z. B. Senden einer E-Mail) konfiguriert werden kann.

Fail2Ban unter Linux installieren

Fail2Ban befindet sich in den meisten Repositorys der wichtigsten Linux-Distributionen und insbesondere in den am häufigsten für Server wie CentOS, RHEL und Ubuntu verwendeten.

Geben Sie im Fall von Ubuntu für die Installation einfach Folgendes ein:

sudo apt-get update && sudo apt-get install -y fail2ban

Im Fall von Centos und RHEL müssen sie Folgendes eingeben:

yum install epel-release
yum install fail2ban fail2ban-systemd

Wenn Sie über SELinux verfügen, ist es wichtig, die Richtlinien zu aktualisieren mit:

yum update -y selinux-policy*

Danach sollten sie im Vordergrund wissen, dass sich die Fail2Ban-Konfigurationsdateien in / etc / fail2ban befinden.

Die Konfiguration von Fail2Ban ist hauptsächlich in zwei Schlüsseldateien unterteilt;; Dies sind fail2ban.conf und jail.conf. fail2ban.confes die größere Fail2Ban-Konfigurationsdatei, in der Sie Einstellungen konfigurieren können, z.

  • Die Protokollstufe.
  • Die anzumeldende Datei.
  • Die Prozess-Socket-Datei.
  • Die Datei pid.

In der jail.conf konfigurieren Sie Optionen wie:

  • Die Konfiguration der zu verteidigenden Dienste.
  • Wie lange zu verbieten, wenn sie angegriffen werden sollten.
  • Die E-Mail-Adresse zum Senden von Berichten.
  • Die Aktion, die ausgeführt werden soll, wenn ein Angriff erkannt wird.
  • Ein vordefinierter Satz von Einstellungen, z. B. SSH.

Konfiguration

Nun gehen wir zum Konfigurationsteil über. Das erste, was wir tun werden, ist eine Sicherung unserer Datei jail.conf mit:

cp -pf /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Und jetzt bearbeiten wir mit nano:

nano /etc/fail2ban/jail.local

Im Inneren gehen wir zum Abschnitt [Standard], wo wir einige Anpassungen vornehmen können.

Hier im "ingoreip" Teil sind die IP-Adressen, die weggelassen werden und sie werden von Fail2Ban vollständig ignoriert, dh im Grunde genommen die IP des Servers (die lokale) und die anderen, von denen Sie denken, dass sie ignoriert werden sollten.

Von da an raus Die anderen IPs, bei denen der Zugriff fehlgeschlagen ist, werden gesperrt und warten Sie, wie viele Sekunden es gesperrt wird (standardmäßig sind es 3600 Sekunden) und dass fail2ban erst nach 6 fehlgeschlagenen Versuchen wirkt

Nach der allgemeinen Konfiguration geben wir nun den Dienst an. Fail2Ban verfügt bereits über einige vordefinierte Filter für verschiedene Dienste. Nehmen Sie einfach einige Anpassungen vor. Hier ist ein Beispiel:

[ssh] enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6

Nachdem die entsprechenden Änderungen vorgenommen wurden, müssen Sie Fail2Ban endgültig neu laden und ausführen:

service fail2ban reload
systemctl enable firewalld
systemctl start firewalld

Nachdem dies erledigt ist, überprüfen wir kurz, ob Fail2Ban ausgeführt wird:

sudo fail2ban-client status

Entbinden Sie eine IP

Was ist nun, wenn wir eine IP erfolgreich gesperrt haben, wenn wir eine IP aufheben möchten? Dazu können wir den fail2ban-Client erneut verwenden und ihm mitteilen, dass eine bestimmte IP-Adresse aufgehoben werden soll, wie im folgenden Beispiel dargestellt.

sudo fail2ban-client set ssh unbanip xxx.xxx.xx.xx

Wo "xxx ..." Dies ist die von Ihnen angegebene IP-Adresse.


Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: Miguel Ángel Gatón
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.