Een van de meest voorkomende aanvalsvectoren tegen servers zijn aanmeldingspogingen met brute kracht. Dit is waar aanvallers proberen toegang te krijgen tot uw server en oneindige combinaties van gebruikersnamen en wachtwoorden proberen.
Voor dit soort problemen de snelste en meest effectieve oplossing is om het aantal pogingen te beperken en de toegang tot de gebruiker of dat IP-adres te blokkeren voor een bepaalde tijd. Het is ook belangrijk om te weten dat hiervoor ook open source-applicaties zijn die specifiek zijn ontworpen om zich tegen dit soort aanvallen te verdedigen.
In de post van vandaag, Ik zal je er een voorstellen die Fail2Ban heet. Fail2004Ban, oorspronkelijk ontwikkeld door Cyril Jaquier in 2, is een softwareframework voor inbraakpreventie dat servers beschermt tegen brute force-aanvallen.
Over Fail2ban
Fail2ban scant logbestanden (/ var / log / apache / error_log) en verbiedt IP's die kwaadaardige activiteiten vertonen, zoals te veel foutieve wachtwoorden en zoeken naar kwetsbaarheden enz.
Algemeen Fail2Ban wordt gebruikt om de firewallregels bij te werken om IP-adressen te weigeren voor een bepaalde tijd, hoewel elke andere willekeurige actie (bijvoorbeeld een e-mail verzenden) ook kan worden geconfigureerd.
Fail2Ban installeren op Linux
Fail2Ban is te vinden in de meeste repositories van de belangrijkste Linux-distributies en meer specifiek in de meest gebruikte opslagplaatsen voor servers, zoals CentOS, RHEL en Ubuntu.
In het geval van Ubuntu typt u gewoon het volgende voor installatie:
sudo apt-get update && sudo apt-get install -y fail2ban
In het geval van Centos en RHEL moeten ze het volgende typen:
yum install epel-release
yum install fail2ban fail2ban-systemd
Als je SELinux hebt, is het belangrijk om het beleid bij te werken met:
yum update -y selinux-policy*
Zodra dit is gebeurd, zouden ze op de voorgrond moeten weten dat de Fail2Ban-configuratiebestanden zich in / etc / fail2ban bevinden.
De configuratie van Fail2Ban is hoofdzakelijk verdeeld in twee sleutelbestanden; dit zijn fail2ban.conf en jail.conf. fail2ban.confes het grotere Fail2Ban-configuratiebestand, waar u instellingen kunt configureren zoals:
- Het log-niveau.
- Het bestand om in te loggen.
- Het process socket-bestand.
- Het bestand pid.
jail.conf is waar u opties configureert zoals:
- De configuratie van de te verdedigen diensten.
- Hoe lang te verbieden als ze moeten worden aangevallen.
- Het e-mailadres om rapporten te verzenden.
- De actie die moet worden ondernomen wanneer een aanval wordt gedetecteerd.
- Een voorgedefinieerde set instellingen, zoals SSH.
configuratie
Nu gaan we verder met het configuratiegedeelte, Het eerste dat we gaan doen is een reservekopie maken van ons jail.conf-bestand met:
cp -pf /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
En we gaan nu verder met bewerken met nano:
nano /etc/fail2ban/jail.local
Binnen gaan we naar de [Standaard] sectie waar we enkele aanpassingen kunnen maken.
Hier in het "ingoreip" -gedeelte staan de IP-adressen die worden weggelaten en ze zullen volledig worden genegeerd door Fail2Ban, dat is in feite het IP-adres van de server (de lokale) en de andere waarvan u denkt dat ze genegeerd moeten worden.
Vanaf dat moment de andere IP's die geen toegang hebben, zullen overgeleverd zijn aan een ban en wacht op het aantal seconden dat het wordt geblokkeerd (standaard is dit 3600 seconden) en dat fail2ban pas werkt na 6 mislukte pogingen
Na de algemene configuratie zullen we nu de service aangeven. Fail2Ban heeft al enkele voorgedefinieerde filters voor verschillende services. Dus doe gewoon wat aanpassingen. Hier is een voorbeeld:
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
Nadat de relevante wijzigingen zijn aangebracht, moet u eindelijk Fail2Ban opnieuw laden, actief:
service fail2ban reload
systemctl enable firewalld
systemctl start firewalld
Nu dit is gebeurd, laten we een snelle controle uitvoeren om te zien of Fail2Ban wordt uitgevoerd:
sudo fail2ban-client status
Unban een IP
Nu we met succes een IP hebben verbannen, wat als we een IP willen verwijderen? Om dat te doen, kunnen we opnieuw fail2ban-client gebruiken en het vertellen om een specifiek IP-adres te ontkoppelen, zoals in het onderstaande voorbeeld.
sudo fail2ban-client set ssh unbanip xxx.xxx.xx.xx
Waar "xxx ..." Het is het IP-adres dat u opgeeft.