A szerverek elleni egyik leggyakoribb támadási vektor a durva erő bejelentkezési kísérlete. A támadók itt próbálnak hozzáférni a szerverhez, és megpróbálják végtelen számú felhasználónevet és jelszót kombinálni.
Ilyen típusú problémákra a leggyorsabb és leghatékonyabb megoldás a próbálkozások számának korlátozása és a felhasználóhoz vagy az adott IP-hez való hozzáférés blokkolása egy bizonyos ideig. Fontos tudni azt is, hogy ehhez vannak nyílt forráskódú alkalmazások is, amelyeket kifejezetten az ilyen típusú támadások elleni védekezésre terveztek.
A mai bejegyzésben Bemutatlak neked egy Fail2Ban nevet. Az eredetileg Cyril Jaquier által 2004-ben kifejlesztett Fail2Ban egy behatolásmegelőző szoftver keretrendszer, amely megvédi a szervereket a durva erőszakos támadásoktól.
A Fail2ban-ról
A Fail2ban beolvassa a naplófájlokat (/ var / log / apache / error_log) és tiltja a rosszindulatú tevékenységet mutató IP-ket, mint a túl sok hibás jelszó és a sebezhetőségek keresése stb.
Általánosságban elmondható, A Fail2Ban a tűzfalszabályok frissítésére szolgál az IP-címek elutasításához meghatározott ideig, bár bármilyen más önkényes művelet (például e-mail küldése) szintén konfigurálható.
A Fail2Ban telepítése Linuxra
A Fail2Ban megtalálható a Linux fő disztribúcióinak legtöbb tárházában, pontosabban a szervereken, például a CentOS-ban, az RHEL-ben és az Ubuntu-ban leggyakrabban használt használatra.
Ubuntu esetén egyszerűen írja be a következőket a telepítéshez:
sudo apt-get update && sudo apt-get install -y fail2ban
Míg a Centos és az RHEL esetében a következőket kell beírniuk:
yum install epel-release
yum install fail2ban fail2ban-systemd
Ha rendelkezik SELinux rendszerrel, fontos az irányelvek frissítése a következőkkel:
yum update -y selinux-policy*
Ha ez megtörtént, az előtérben tudnia kell, hogy a Fail2Ban konfigurációs fájlok az / etc / fail2ban fájlban vannak.
A konfiguráció A Fail2Ban főleg két kulcsfájlra oszlik; ezek a fail2ban.conf és a jail.conf. A fail2ban.confesíti a nagyobb Fail2Ban konfigurációs fájlt, ahol konfigurálhatja az alábbi beállításokat:
- A naplószint.
- A bejelentkezéshez szükséges fájl.
- A folyamat socket fájl.
- A fájl pid.
A jail.conf helyen konfigurálhatja az alábbi beállításokat:
- A védendő szolgáltatások konfigurációja.
- Meddig kell betiltani, ha támadni kell őket.
- A jelentések küldéséhez szükséges e-mail cím.
- A támadás észlelésekor végrehajtandó művelet.
- Előre definiált beállításkészlet, például SSH.
konfiguráció
Most áttérünk a konfigurációs részre, Az első dolog, amit a jail.conf fájl biztonsági másolatának elkészítésével fogunk megtenni:
cp -pf /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
És most folytatjuk a szerkesztést a nanóval:
nano /etc/fail2ban/jail.local
Belül megyünk az [Alapértelmezett] részhez, ahol néhány beállítást elvégezhetünk.
Itt az "ingoreip" részben vannak azok az IP-címek, amelyek kimaradnak és a Fail2Ban teljesen figyelmen kívül hagyja őket, vagyis alapvetően a szerver (a helyi) IP-címét és a többit, amelyet szerinted figyelmen kívül kell hagyni.
Innentől kezdve a többi IP-cím, amelynek sikertelen hozzáférése van, a betiltás kegyeibe kerül és várja meg, hogy hány másodpercig lesz tiltva (alapértelmezés szerint 3600 másodperc), és hogy a fail2ban csak 6 sikertelen próbálkozás után működik
Az általános konfiguráció után most megadjuk a szolgáltatást. A Fail2Ban már rendelkezik néhány előre meghatározott szűrővel a különböző szolgáltatásokhoz. Tehát csak végezzen néhány adaptációt. Íme egy példa:
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
A vonatkozó módosításokkal végre újra be kell töltenie a Fut2Ban programot:
service fail2ban reload
systemctl enable firewalld
systemctl start firewalld
Ezzel készen állunk egy gyors ellenőrzésre, hogy a Fail2Ban fut-e:
sudo fail2ban-client status
Törölje az IP-címet
Most, hogy sikeresen betiltottuk az IP-t, mi van, ha meg akarjuk szüntetni az IP-t? Ehhez ismét használhatjuk a fail2ban-client programot, és megadhatjuk neki egy adott IP letiltását, az alábbi példában leírtak szerint.
sudo fail2ban-client set ssh unbanip xxx.xxx.xx.xx
Hol "xxx ...." Ez lesz az Ön által megadott IP-cím.