सर्वरों के खिलाफ सबसे आम अटैक वैक्टरों में से एक ब्रूट बल लॉगिन प्रयास है। यह वह जगह है जहां हमलावर आपके सर्वर तक पहुंचने की कोशिश करते हैं, उपयोगकर्ता नाम और पासवर्ड के अनंत संयोजनों की कोशिश करते हैं।
इस प्रकार की समस्याओं के लिए सबसे तेज़ और सबसे प्रभावी समाधान उपयोगकर्ता या उस आईपी तक प्रयासों की संख्या को सीमित करना और पहुंच को रोकना है एक निश्चित समय के लिए। यह जानना भी महत्वपूर्ण है कि इसके लिए विशेष रूप से इस प्रकार के हमले से बचाव के लिए डिज़ाइन किए गए ओपन सोर्स एप्लिकेशन भी हैं।
आज की पोस्ट में, मैं आपको एक परिचय देता हूँ जिसे Fail2Ban कहा जाता है। मूल रूप से साइरिल जैक्वियर द्वारा 2004 में विकसित किया गया, फेल 2 बान एक घुसपैठ रोकथाम सॉफ्टवेयर ढांचा है जो सर्वरों को तेज बल के हमलों से बचाता है।
Fail2ban के बारे में
Fail2ban लॉग फ़ाइलों को स्कैन करता है (/ var / log / apache / error_log) और दुर्भावनापूर्ण गतिविधि दिखाने वाले IP को प्रतिबंधित करता है, जैसे बहुत सारे दोषपूर्ण पासवर्ड और कमजोरियों की खोज आदि।
सामान्य तौर पर, IP पते को अस्वीकार करने के लिए फ़ायरवॉल नियमों को अपडेट करने के लिए Fail2Ban का उपयोग किया जाता है एक निश्चित समय के लिए, हालांकि कोई अन्य मनमाना कार्रवाई (उदाहरण के लिए, ईमेल भेजें) को भी कॉन्फ़िगर किया जा सकता है।
लिनक्स पर Fail2Ban स्थापित करना
Fail2Ban मुख्य लिनक्स वितरण के अधिकांश भंडार में पाया जाता है और विशेष रूप से सर्वर, जैसे CentOS, RHEL और Ubuntu में उपयोग के लिए सबसे अधिक उपयोग किया जाता है।
उबंटू के मामले में, स्थापना के लिए बस निम्नलिखित टाइप करें:
sudo apt-get update && sudo apt-get install -y fail2ban
Centos और RHEL के मामले में, उन्हें निम्नलिखित टाइप करना होगा:
yum install epel-release
yum install fail2ban fail2ban-systemd
यदि आपके पास SELinux है तो नीतियों को अद्यतन करना महत्वपूर्ण है:
yum update -y selinux-policy*
एक बार यह हो जाने के बाद, उन्हें अग्रभूमि में पता होना चाहिए कि Fail2Ban कॉन्फ़िगरेशन फाइलें / etc / fail2ban में हैं।
का विन्यास Fail2Ban मुख्य रूप से दो मुख्य फाइलों में विभाजित है; ये विफल हैं 2ban.conf और जेल.conf। Fail2Ban। Ff2Ban कॉन्फ़िगरेशन फ़ाइल को बड़ा करता है, जहाँ आप सेटिंग्स को कॉन्फ़िगर कर सकते हैं जैसे:
- लॉग स्तर।
- लॉग इन करने की फाइल।
- प्रक्रिया सॉकेट फ़ाइल।
- फ़ाइल pid।
जेल.कॉन्फ़, जहाँ आप विकल्प कॉन्फ़िगर करते हैं जैसे:
- बचाव के लिए सेवाओं का विन्यास।
- यदि उन पर हमला किया जाना चाहिए तो कब तक प्रतिबंध लगाया जाए।
- रिपोर्ट भेजने के लिए ईमेल पता।
- किसी हमले का पता लगने पर होने वाली कार्रवाई।
- सेटिंग्स का एक पूर्वनिर्धारित सेट, जैसे कि एसएसएच।
विन्यास
अब हम विन्यास भाग में जाने वाले हैं, पहली चीज जो हम करने जा रहे हैं, वह है हमारी जेल की बैकअप प्रति।
cp -pf /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
और हम नैनो के साथ अब संपादित करने के लिए आगे बढ़ते हैं:
nano /etc/fail2ban/jail.local
अंदर हम [डिफ़ॉल्ट] अनुभाग पर जाते हैं जहां हम कुछ समायोजन कर सकते हैं।
यहां "इंगोरिप" के हिस्से में आईपी पते हैं जिन्हें छोड़ दिया जाएगा और वे Fail2Ban द्वारा पूरी तरह से नजरअंदाज कर दिए जाएंगे, यह मूल रूप से सर्वर का आईपी (स्थानीय एक) है और अन्य जो आपको लगता है कि अनदेखा किया जाना चाहिए।
वहां से बाहर अन्य IP जो विफल हो चुके हैं, प्रतिबंधित होने की दया पर होंगे और सेकंड की संख्या के लिए प्रतीक्षा करें कि इसे प्रतिबंधित किया जाएगा (डिफ़ॉल्ट रूप से यह 3600 सेकंड है) और यह विफल 2 बटन केवल 6 सेकंड के प्रयासों के साथ कार्य करता है
सामान्य कॉन्फ़िगरेशन के बाद, हम अब सेवा का संकेत देंगे। Fail2Ban में पहले से ही विभिन्न सेवाओं के लिए कुछ पूर्वनिर्धारित फिल्टर हैं। तो बस कुछ अनुकूलन करें। यहाँ एक उदाहरण है:
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
किए गए प्रासंगिक परिवर्तनों के साथ, आपको अंततः Fail2Ban को फिर से लोड करना होगा, चल रहा है:
service fail2ban reload
systemctl enable firewalld
systemctl start firewalld
इस के साथ, चलो देखते हैं कि Fail2Ban चल रहा है एक त्वरित जाँच करें:
sudo fail2ban-client status
एक आईपी अनबन
अब जब हमने IP पर सफलतापूर्वक प्रतिबंध लगा दिया है, तो क्या होगा यदि हम IP को खोलना चाहते हैं? ऐसा करने के लिए, हम फिर से fail2ban-client का उपयोग कर सकते हैं और इसे एक विशिष्ट IP को अनबन करने के लिए कह सकते हैं, जैसा कि नीचे दिए गए उदाहरण में है।
sudo fail2ban-client set ssh unbanip xxx.xxx.xx.xx
कहाँ "xxx ...." यह आईपी पता होगा जो आप इंगित करेंगे।