Fail2Ban ir lieliska iespēja atvairīt brutālu spēku uzbrukumus jūsu serverim

fail2ban

Viens no izplatītākajiem uzbrukumu vektoriem pret serveriem ir brutāla spēka pieteikšanās mēģinājumi. Šeit uzbrucēji mēģina piekļūt jūsu serverim, izmēģinot bezgalīgas lietotājvārdu un paroļu kombinācijas.

Par šāda veida problēmām ātrākais un efektīvākais risinājums ir ierobežot mēģinājumu skaitu un bloķēt piekļuvi lietotājam vai šim IP uz noteiktu laiku. Ir arī svarīgi zināt, ka šim nolūkam ir arī atvērtā koda lietojumprogrammas, kas īpaši paredzētas aizsardzībai pret šāda veida uzbrukumiem.

Šodienas ierakstā Es jūs iepazīstināšu ar nosaukumu Fail2Ban. Sākotnēji Kirils Džekjers 2004. gadā izstrādāja Fail2Ban ir ielaušanās novēršanas programmatūras ietvars, kas aizsargā serverus no brutālu spēku uzbrukumiem.

Par Fail2ban

Fail2ban skenē žurnālfailus (/ var / log / apache / error_log) un aizliedz IP, kas rāda ļaunprātīgas darbības, piemēram, pārāk daudz kļūdainu paroļu un ievainojamību meklēšana utt.

Vispār, Fail2Ban tiek izmantots, lai atjauninātu ugunsmūra noteikumus, lai noraidītu IP adreses uz noteiktu laiku, lai gan varētu konfigurēt arī jebkuru citu patvaļīgu darbību (piemēram, nosūtīt e-pastu).

Fail2Ban instalēšana Linux

Fail2Ban ir atrodams lielākajā daļā galveno Linux izplatīšanas krātuvju un konkrētāk visbiežāk izmantotajā serveros, piemēram, CentOS, RHEL un Ubuntu.

Ubuntu gadījumā instalēšanai vienkārši ierakstiet šo:

sudo apt-get update && sudo apt-get install -y fail2ban

Centos un RHEL gadījumā viņiem jāievada:

yum install epel-release
yum install fail2ban fail2ban-systemd

Ja jums ir SELinux, ir svarīgi atjaunināt politikas ar:

yum update -y selinux-policy*

Kad tas ir izdarīts, viņiem priekšplānā vajadzētu zināt, ka Fail2Ban konfigurācijas faili atrodas mapē / etc / fail2ban.

Konfigurācija Fail2Ban galvenokārt tiek sadalīts divos galvenajos failos; tie ir fail2ban.conf un jail.conf. fail2ban.confes lielāku Fail2Ban konfigurācijas failu, kurā varat konfigurēt šādus iestatījumus:

  • Žurnāla līmenis.
  • Fails, kurā jāpiesakās.
  • Procesa ligzdas fails.
  • Fails pid.

jail.conf ir vieta, kur konfigurējat šādas opcijas:

  • Aizsargājamo pakalpojumu konfigurācija.
  • Cik ilgi aizliegt, ja viņiem vajadzētu uzbrukt.
  • E-pasta adrese ziņojumu sūtīšanai.
  • Darbība, kas jāveic, kad tiek atklāts uzbrukums.
  • Iepriekš noteikta iestatījumu kopa, piemēram, SSH.

konfigurācija

Tagad mēs pāriet uz konfigurācijas daļu, Pirmā lieta, ko mēs darīsim, ir faila jail.conf dublējumkopija ar:

cp -pf /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Mēs turpinām rediģēt tagad ar nano:

nano /etc/fail2ban/jail.local

Iekšpusē mēs dodamies uz sadaļu [Noklusējums], kur mēs varam veikt dažus pielāgojumus.

Šeit "ingoreip" daļā ir IP adreses, kuras tiks izlaistas un Fail2Ban tos pilnībā ignorēs, tas būtībā ir servera IP (vietējais) un citi, kurus, jūsuprāt, vajadzētu ignorēt.

No turienes uz āru pārējie IP, kuriem nav piekļuves, būs aizliegti un pagaidiet, cik sekundes tas tiks aizliegts (pēc noklusējuma tas ir 3600 sekundes) un fail2ban darbojas tikai pēc 6 neveiksmīgiem mēģinājumiem

Pēc vispārīgās konfigurācijas mēs tagad norādīsim pakalpojumu. Fail2Ban jau ir daži iepriekš noteikti filtri dažādiem pakalpojumiem. Tāpēc vienkārši veiciet dažus pielāgojumus. Šeit ir piemērs:

[ssh] enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6

Veicot attiecīgās izmaiņas, jums beidzot būs jāpārlādē Fail2Ban, kas darbojas:

service fail2ban reload
systemctl enable firewalld
systemctl start firewalld

Kad tas būs izdarīts, veiksim ātru pārbaudi, lai redzētu, vai darbojas Fail2Ban:

sudo fail2ban-client status

Atcelt IP atcelšanu

Tagad, kad mēs esam veiksmīgi aizlieguši IP, ko darīt, ja mēs vēlamies atcelt IP aizliegšanu? Lai to izdarītu, mēs atkal varam izmantot fail2ban-client un likt tam atcelt noteiktu IP, kā parādīts zemāk esošajā piemērā.

sudo fail2ban-client set ssh unbanip xxx.xxx.xx.xx

Kur "xxx ...." Tā būs jūsu norādītā IP adrese.


Raksta saturs atbilst mūsu principiem redakcijas ētika. Lai ziņotu par kļūdu, noklikšķiniet uz šeit.

Esi pirmais, kas komentārus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.