„Fail2Ban“ yra puiki galimybė atremti žiaurios jėgos išpuolius jūsų serveryje

fail2ban

Vienas iš labiausiai paplitusių atakų vektorių prieš serverius yra žiaurios jėgos bandymai prisijungti. Čia užpuolikai bando pasiekti jūsų serverį, bandydami begalinius vartotojo vardų ir slaptažodžių derinius.

Dėl šių problemų rūšių greičiausias ir efektyviausias sprendimas yra apriboti bandymų skaičių ir blokuoti prieigą prie vartotojo ar to IP tam tikrą laiką. Taip pat svarbu žinoti, kad tam yra ir atvirojo kodo programų, specialiai sukurtų apsisaugoti nuo tokio tipo atakų.

Šiandienos įraše Aš jums pristatysiu vieną pavadinimą Fail2Ban. Iš pradžių Cyril Jaquier sukurta 2004 m.

Apie „Fail2ban“

Fail2ban nuskaito žurnalo failus (/ var / log / apache / error_log) ir draudžia IP, kuriuose rodoma kenkėjiška veikla, patinka per daug sugedusių slaptažodžių ir pažeidžiamumų paieška ir pan.

Apskritai, Fail2Ban naudojamas atnaujinti užkardos taisykles, kad būtų atmesti IP adresai nustatytą laiką, nors bet koks kitas savavališkas veiksmas (pavyzdžiui, el. laiško siuntimas) taip pat gali būti sukonfigūruotas.

„Fail2Ban“ diegimas „Linux“

„Fail2Ban“ yra daugelyje pagrindinių „Linux“ paskirstymų saugyklų, tiksliau, dažniausiai naudojamas serveriuose, pavyzdžiui, „CentOS“, „RHEL“ ir „Ubuntu“.

„Ubuntu“ atveju tiesiog įveskite šiuos duomenis, kad įdiegtumėte:

sudo apt-get update && sudo apt-get install -y fail2ban

„Centos“ ir „RHEL“ atveju jie turi įvesti:

yum install epel-release
yum install fail2ban fail2ban-systemd

Jei turite „SELinux“, svarbu atnaujinti politiką:

yum update -y selinux-policy*

Tai atlikę, jie turėtų žinoti, kad „Fail2Ban“ konfigūracijos failai yra / etc / fail2ban.

Konfigūracija Fail2Ban daugiausia skirstomas į du pagrindinius failus; tai fail2ban.conf ir jail.conf. fail2ban.confes didesnį „Fail2Ban“ konfigūracijos failą, kuriame galite konfigūruoti tokius nustatymus kaip:

  • Žurnalo lygis.
  • Failas, prie kurio norite prisijungti.
  • Proceso lizdo failas.
  • Failas pid.

jail.conf yra vieta, kurioje konfigūruojate tokias parinktis kaip:

  • Ginamų tarnybų konfigūracija.
  • Kiek laiko uždrausti, jei juos reikėtų užpulti.
  • El. Pašto adresas ataskaitoms siųsti.
  • Veiksmas, kurį reikia atlikti aptikus priepuolį.
  • Iš anksto nustatytas nustatymų rinkinys, pvz., SSH.

konfigūracija

Dabar pereisime prie konfigūracijos dalies, Pirmas dalykas, kurį ketiname padaryti, yra mūsų jail.conf failo atsarginė kopija su:

cp -pf /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Redaguojame dabar naudodami „nano“:

nano /etc/fail2ban/jail.local

Viduje einame į skyrių [Numatytasis], kuriame galime atlikti tam tikrus pakeitimus.

Čia „ingoreip“ dalyje yra IP adresai, kurie bus praleisti ir „Fail2Ban“ jų visiškai nepaisys, tai iš esmės yra serverio IP (vietinis) ir kitų, kurie, jūsų manymu, turėtų būti ignoruojami.

Iš ten kiti IP, kuriems nepavyko pasiekti, bus uždrausti ir palaukite, kiek sekundžių jis bus uždraustas (pagal numatytuosius nustatymus tai yra 3600 sekundžių) ir kad fail2ban veikia tik po 6 nepavykusių bandymų

Po bendros konfigūracijos dabar nurodysime paslaugą. „Fail2Ban“ jau turi keletą iš anksto nustatytų įvairių paslaugų filtrų. Taigi tiesiog atlikite keletą pritaikymų. Štai pavyzdys:

[ssh] enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6

Atlikę atitinkamus pakeitimus, pagaliau turėsite iš naujo įkelti „Fail2Ban“, veikiantį:

service fail2ban reload
systemctl enable firewalld
systemctl start firewalld

Tai atlikę, patikrinkime, ar veikia „Fail2Ban“:

sudo fail2ban-client status

Panaikinti IP

Dabar, kai sėkmingai uždraudėme IP, ką daryti, jei norime išjungti IP? Norėdami tai padaryti, mes vėl galime naudoti fail2ban-klientą ir nurodyti jam išjungti konkretų IP, kaip nurodyta toliau pateiktame pavyzdyje.

sudo fail2ban-client set ssh unbanip xxx.xxx.xx.xx

Kur „xxx…“. Tai bus jūsų nurodytas IP adresas.


Būkite pirmas, kuris pakomentuos

Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Atsakingas už duomenis: Miguel Ángel Gatón
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.