Viens no izplatītākajiem uzbrukumu vektoriem pret serveriem ir brutāla spēka pieteikšanās mēģinājumi. Šeit uzbrucēji mēģina piekļūt jūsu serverim, izmēģinot bezgalīgas lietotājvārdu un paroļu kombinācijas.
Par šāda veida problēmām ātrākais un efektīvākais risinājums ir ierobežot mēģinājumu skaitu un bloķēt piekļuvi lietotājam vai šim IP uz noteiktu laiku. Ir arī svarīgi zināt, ka šim nolūkam ir arī atvērtā koda lietojumprogrammas, kas īpaši paredzētas aizsardzībai pret šāda veida uzbrukumiem.
Šodienas ierakstā Es jūs iepazīstināšu ar nosaukumu Fail2Ban. Sākotnēji Kirils Džekjers 2004. gadā izstrādāja Fail2Ban ir ielaušanās novēršanas programmatūras ietvars, kas aizsargā serverus no brutālu spēku uzbrukumiem.
Par Fail2ban
Fail2ban skenē žurnālfailus (/ var / log / apache / error_log) un aizliedz IP, kas rāda ļaunprātīgas darbības, piemēram, pārāk daudz kļūdainu paroļu un ievainojamību meklēšana utt.
Vispār, Fail2Ban tiek izmantots, lai atjauninātu ugunsmūra noteikumus, lai noraidītu IP adreses uz noteiktu laiku, lai gan varētu konfigurēt arī jebkuru citu patvaļīgu darbību (piemēram, nosūtīt e-pastu).
Fail2Ban instalēšana Linux
Fail2Ban ir atrodams lielākajā daļā galveno Linux izplatīšanas krātuvju un konkrētāk visbiežāk izmantotajā serveros, piemēram, CentOS, RHEL un Ubuntu.
Ubuntu gadījumā instalēšanai vienkārši ierakstiet šo:
sudo apt-get update && sudo apt-get install -y fail2ban
Centos un RHEL gadījumā viņiem jāievada:
yum install epel-release
yum install fail2ban fail2ban-systemd
Ja jums ir SELinux, ir svarīgi atjaunināt politikas ar:
yum update -y selinux-policy*
Kad tas ir izdarīts, viņiem priekšplānā vajadzētu zināt, ka Fail2Ban konfigurācijas faili atrodas mapē / etc / fail2ban.
Konfigurācija Fail2Ban galvenokārt tiek sadalīts divos galvenajos failos; tie ir fail2ban.conf un jail.conf. fail2ban.confes lielāku Fail2Ban konfigurācijas failu, kurā varat konfigurēt šādus iestatījumus:
- Žurnāla līmenis.
- Fails, kurā jāpiesakās.
- Procesa ligzdas fails.
- Fails pid.
jail.conf ir vieta, kur konfigurējat šādas opcijas:
- Aizsargājamo pakalpojumu konfigurācija.
- Cik ilgi aizliegt, ja viņiem vajadzētu uzbrukt.
- E-pasta adrese ziņojumu sūtīšanai.
- Darbība, kas jāveic, kad tiek atklāts uzbrukums.
- Iepriekš noteikta iestatījumu kopa, piemēram, SSH.
konfigurācija
Tagad mēs pāriet uz konfigurācijas daļu, Pirmā lieta, ko mēs darīsim, ir faila jail.conf dublējumkopija ar:
cp -pf /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Mēs turpinām rediģēt tagad ar nano:
nano /etc/fail2ban/jail.local
Iekšpusē mēs dodamies uz sadaļu [Noklusējums], kur mēs varam veikt dažus pielāgojumus.
Šeit "ingoreip" daļā ir IP adreses, kuras tiks izlaistas un Fail2Ban tos pilnībā ignorēs, tas būtībā ir servera IP (vietējais) un citi, kurus, jūsuprāt, vajadzētu ignorēt.
No turienes uz āru pārējie IP, kuriem nav piekļuves, būs aizliegti un pagaidiet, cik sekundes tas tiks aizliegts (pēc noklusējuma tas ir 3600 sekundes) un fail2ban darbojas tikai pēc 6 neveiksmīgiem mēģinājumiem
Pēc vispārīgās konfigurācijas mēs tagad norādīsim pakalpojumu. Fail2Ban jau ir daži iepriekš noteikti filtri dažādiem pakalpojumiem. Tāpēc vienkārši veiciet dažus pielāgojumus. Šeit ir piemērs:
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
Veicot attiecīgās izmaiņas, jums beidzot būs jāpārlādē Fail2Ban, kas darbojas:
service fail2ban reload
systemctl enable firewalld
systemctl start firewalld
Kad tas būs izdarīts, veiksim ātru pārbaudi, lai redzētu, vai darbojas Fail2Ban:
sudo fail2ban-client status
Atcelt IP atcelšanu
Tagad, kad mēs esam veiksmīgi aizlieguši IP, ko darīt, ja mēs vēlamies atcelt IP aizliegšanu? Lai to izdarītu, mēs atkal varam izmantot fail2ban-client un likt tam atcelt noteiktu IP, kā parādīts zemāk esošajā piemērā.
sudo fail2ban-client set ssh unbanip xxx.xxx.xx.xx
Kur "xxx ...." Tā būs jūsu norādītā IP adrese.