Uno dei vettori di attacco più comuni contro i server sono i tentativi di accesso a forza bruta. È qui che gli aggressori tentano di accedere al tuo server, provando infinite combinazioni di nomi utente e password.
Per questo tipo di problemi la soluzione più veloce ed efficace è limitare il numero di tentativi e bloccare l'accesso all'utente oa quell'IP per un certo tempo. È anche importante sapere che per questo esistono anche applicazioni open source appositamente progettate per difendersi da questo tipo di attacco.
Nel post di oggi, Ve ne presenterò uno che si chiama Fail2Ban. Sviluppato originariamente da Cyril Jaquier nel 2004, Fail2Ban è un framework software per la prevenzione delle intrusioni che protegge i server dagli attacchi di forza bruta.
Informazioni su Fail2ban
Fail2ban analizza i file di registro (/ var / log / apache / error_log) e vieta gli IP che mostrano attività dannose, come troppe password errate e ricerca di vulnerabilità ecc.
Complessivo Fail2Ban viene utilizzato per aggiornare le regole del firewall per rifiutare gli indirizzi IP per un periodo di tempo specificato, sebbene sia possibile configurare qualsiasi altra azione arbitraria (ad esempio, inviare un'e-mail).
Installazione di Fail2Ban su Linux
Fail2Ban si trova all'interno della maggior parte dei repository delle principali distribuzioni Linux e più precisamente in quelli più utilizzati per l'utilizzo su server, come CentOS, RHEL e Ubuntu.
Nel caso di Ubuntu, digita quanto segue per l'installazione:
sudo apt-get update && sudo apt-get install -y fail2ban
Mentre nel caso di Centos e RHEL, devono digitare quanto segue:
yum install epel-release
yum install fail2ban fail2ban-systemd
Se hai SELinux è importante aggiornare le policy con:
yum update -y selinux-policy*
Una volta fatto, dovrebbero sapere in primo piano che i file di configurazione di Fail2Ban si trovano in / etc / fail2ban.
La configurazione di Fail2Ban è principalmente diviso in due file chiave; questi sono fail2ban.conf e jail.conf. fail2ban.confes il file di configurazione Fail2Ban più grande, in cui è possibile configurare impostazioni come:
- Il livello di registro.
- Il file per accedere.
- Il file socket del processo.
- Il file pid.
jail.conf è dove configuri opzioni come:
- La configurazione dei servizi da difendere.
- Per quanto tempo bandire se devono essere attaccati.
- L'indirizzo e-mail a cui inviare i rapporti.
- L'azione da intraprendere quando viene rilevato un attacco.
- Un insieme predefinito di impostazioni, come SSH.
Configurazione
Ora passiamo alla parte di configurazione, La prima cosa che faremo è una copia di backup del nostro file jail.conf con:
cp -pf /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
E procediamo ora alla modifica con nano:
nano /etc/fail2ban/jail.local
All'interno andiamo alla sezione [Default] dove possiamo apportare alcune modifiche.
Qui nella parte "ingoreip" ci sono gli indirizzi IP che verranno omessi e saranno completamente ignorati da Fail2Ban, che è fondamentalmente l'IP del server (quello locale) e gli altri che secondo te dovrebbero essere ignorati.
Da lì in poi gli altri IP che hanno fallito l'accesso saranno in balia di essere bannati e attendi il numero di secondi in cui verrà bannato (di default è 3600 secondi) e che fail2ban agisca solo dopo 6 tentativi falliti
Dopo la configurazione generale, indicheremo ora il servizio. Fail2Ban ha già alcuni filtri predefiniti per vari servizi. Quindi fai solo alcuni adattamenti. Ecco un esempio:
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
Dopo aver apportato le modifiche pertinenti, dovrai finalmente ricaricare Fail2Ban, in esecuzione:
service fail2ban reload
systemctl enable firewalld
systemctl start firewalld
Fatto ciò, facciamo un rapido controllo per vedere che Fail2Ban è in esecuzione:
sudo fail2ban-client status
Annulla esclusione di un IP
Ora che abbiamo bandito con successo un IP, cosa succede se volessimo sbloccare un IP? Per fare ciò, possiamo nuovamente usare fail2ban-client e dirgli di sbloccare un IP specifico, come nell'esempio seguente.
sudo fail2ban-client set ssh unbanip xxx.xxx.xx.xx
Dove "xxx ...." Sarà l'indirizzo IP che indichi.