Fail2Ban rogha den scoth chun ionsaithe fórsa bruit ar do fhreastalaí a aischur

fail2ban

Uno de los vectores de ataque más comunes contra los servidores son los intentos de inicio de sesión de fuerza bruta. Aquí es donde los atacantes intentan acceder a su servidor, intentando combinaciones infinitas de nombres de usuario y contraseñas.

Para este tipo de problemas la solución mas rápida y efectiva es limitar el numero de intentos y bloquear el acceso al usuario o esa IP por cierto tiempo. Además es importante saber que para esto también existen aplicaciones de código abierto específicamente diseñadas para defenderse contra este tipo de ataque.

En la publicación de hoy, te presentaré uno se llama FailXNUMXBan. Desarrollado originalmente por Cyril Jaquier en XNUMX, FailXNUMXBan es un marco de software de prevención de intrusiones que protege los servidores de los ataques de fuerza bruta.

Sobre FailXNUMXban

FailXNUMXban escanea archivos de registro (/var/log/apache/error_log) y prohíbe las IP que muestran actividad maliciosa, como demasiadas fallas en las contraseñas y la búsqueda de vulnerabilidades, etc.

Go ginearálta, FailXNUMXBan se usa para actualizar las reglas del firewall para rechazar las direcciones IP por una cantidad específica de tiempo, aunque también podría configurarse cualquier otra acción arbitraria (por ejemplo, enviar un correo electrónico).

Instalación de FailXNUMXBan en Linux

FailXNUMXBan se encuentra dentro de la mayoría de los repositorios de las principales distribuciones de Linux y mas en especifico en las mas utilizadas para su uso en servidores, tal es el caso como CentOS, RHEL y Ubuntu.

Para el caso de Ubuntu basta con teclear lo siguiente para su instalación:

sudo apt-get update && sudo apt-get install -y fail2ban

Mientras que para el caso de Centos y RHEL, deben teclear lo siguiente:

yum install epel-release
yum install fail2ban fail2ban-systemd

Si cuentan con SELinux es importante actualizar las políticas con:

yum update -y selinux-policy*

Hecho esto deben saber en primer plano que los archivos de configuración de FailXNUMXBan están en /etc/failXNUMXban.

La configuración de FailXNUMXBan se divide, principalmente, en dos archivos clave; estos son failXNUMXban.confy jail.conf. failXNUMXban.confes el archivo de configuración más amplio de FailXNUMXBan, donde puede configurar ajustes como:

  • El nivel de registro.
  • El archivo para iniciar sesión.
  • El archivo de socket de proceso.
  • El archivo pid.

jail.conf es donde configura opciones como:

  • La configuración de los servicios a defender.
  • Por cuánto tiempo prohibir si deberían ser atacados.
  • La dirección de correo electrónico para enviar informes.
  • La acción a tomar cuando se detecta un ataque.
  • Un conjunto predefinido de configuraciones, como SSH.

cumraíocht

Ahora vamos a pasar a la parte de la configuración, lo primero que vamos a hacer es una copia de seguridad de nuestro archivo jail.conf con:

cp -pf /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Agus leanaimid orainn ag eagarthóireacht anois le nano:

nano /etc/fail2ban/jail.local

Taobh istigh téimid chuig an roinn [Réamhshocrú] áit ar féidir linn roinnt athruithe a dhéanamh.

Anseo sa chuid "ingoreip" tá na seoltaí IP a fhágfar amach agus tabharfaidh Fail2Ban neamhaird iomlán orthu, is é sin go bunúsach IP an fhreastalaí (an ceann áitiúil) agus na cinn eile ar cheart neamhaird a dhéanamh orthu, dar leat.

As sin amach beidh na IPanna eile ar theip orthu rochtain a fháil orthu a bheith toirmiscthe agus fanacht leis an líon soicind go dtoirmiscfear é (de réir réamhshocraithe is 3600 soicind é) agus ní ghníomhaíonn fail2ban ach tar éis 6 iarracht theipthe

Tar éis na cumraíochta ginearálta, cuirfimid an tseirbhís in iúl anois. Tá roinnt scagairí réamhshainithe ag Fail2Ban cheana féin le haghaidh seirbhísí éagsúla. Mar sin déan roinnt oiriúnuithe. Seo sampla:

[ssh] enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6

Agus na hathruithe ábhartha déanta, beidh ort Fail2Ban a athlódáil, ag rith:

service fail2ban reload
systemctl enable firewalld
systemctl start firewalld

Agus é seo déanta, déanaimis seiceáil thapa chun a fheiceáil go bhfuil Fail2Ban ag rith:

sudo fail2ban-client status

Unban an IP

Anois go bhfuil cosc ​​rathúil againn ar IP, cad a tharlaíonn má theastaíonn uainn IP a dhíbirt? Chun é sin a dhéanamh, is féidir linn cliant fail2ban a úsáid arís agus é a rá le IP ar leith a dhíbirt, mar atá sa sampla thíos.

sudo fail2ban-client set ssh unbanip xxx.xxx.xx.xx

I gcás "xxx ...." Is é an seoladh IP a chuirfidh tú in iúl.


Cloíonn ábhar an ailt lenár bprionsabail eitic eagarthóireachta. Chun earráid a thuairisciú cliceáil anseo.

Bí ar an chéad trácht

Fág do thrácht

Ní thabharfar do sheoladh r-phoist a fhoilsiú. Réimsí riachtanacha atá marcáilte le *

*

*

  1. Freagrach as na sonraí: Miguel Ángel Gatón
  2. Cuspóir na sonraí: SPAM a rialú, bainistíocht trácht.
  3. Legitimation: Do thoiliú
  4. Na sonraí a chur in iúl: Ní chuirfear na sonraí in iúl do thríú páirtithe ach amháin trí oibleagáid dhlíthiúil.
  5. Stóráil sonraí: Bunachar sonraí arna óstáil ag Occentus Networks (EU)
  6. Cearta: Tráth ar bith is féidir leat do chuid faisnéise a theorannú, a aisghabháil agus a scriosadh.