Fail2Ban este o opțiune excelentă pentru a respinge atacurile de forță brută pe server

fail2ban

Unul dintre cei mai comuni vectori de atac împotriva serverelor este încercările de conectare cu forță brută. Aici atacatorii încearcă să vă acceseze serverul, încercând combinații infinite de nume de utilizator și parole.

Pentru aceste tipuri de probleme cea mai rapidă și mai eficientă soluție este limitarea numărului de încercări și blocarea accesului la utilizator sau la acel IP pentru un anumit timp. De asemenea, este important să știm că pentru aceasta există și aplicații open source special concepute pentru a se apăra împotriva acestui tip de atac.

În postarea de astăzi, Vă voi prezenta unul care se numește Fail2Ban. Dezvoltat inițial de Cyril Jaquier în 2004, Fail2Ban este un cadru software de prevenire a intruziunilor care protejează serverele de atacurile de forță brută.

Despre Fail2ban

Fail2ban scanează fișierele jurnal (/ var / log / apache / error_log) și interzice adresele IP care prezintă activitate rău intenționată, cum ar fi prea multe parole defecte și căutarea vulnerabilităților etc.

În general, Fail2Ban este utilizat pentru a actualiza regulile firewall-ului pentru a respinge adresele IP pentru o anumită perioadă de timp, deși ar putea fi configurată și orice altă acțiune arbitrară (de exemplu, trimite un e-mail).

Instalarea Fail2Ban pe Linux

Fail2Ban se găsește în majoritatea depozitelor principalelor distribuții Linux și mai precis în cele mai utilizate pentru utilizare pe servere, cum ar fi CentOS, RHEL și Ubuntu.

În cazul Ubuntu, trebuie doar să tastați următoarele pentru instalare:

sudo apt-get update && sudo apt-get install -y fail2ban

În timp ce în cazul Centos și RHEL, trebuie să tastați următoarele:

yum install epel-release
yum install fail2ban fail2ban-systemd

Dacă aveți SELinux, este important să actualizați politicile cu:

yum update -y selinux-policy*

Odată ce acest lucru este făcut, ar trebui să știe în prim-plan că fișierele de configurare Fail2Ban sunt în / etc / fail2ban.

Configurarea Fail2Ban este împărțit în principal în două fișiere cheie; acestea sunt fail2ban.conf și jail.conf. fail2ban.confesează fișierul de configurare Fail2Ban mai mare, unde puteți configura setări precum:

  • Nivelul jurnalului.
  • Fișierul de conectat.
  • Fișierul socket proces.
  • Fișierul pid.

jail.conf este locul în care configurați opțiuni precum:

  • Configurarea serviciilor de apărat.
  • Cât timp să interzică dacă ar trebui să fie atacați.
  • Adresa de e-mail pentru a trimite rapoarte.
  • Acțiunea de întreprins atunci când este detectat un atac.
  • Un set predefinit de setări, cum ar fi SSH.

configurație

Acum vom trece la partea de configurare, Primul lucru pe care îl vom face este o copie de rezervă a fișierului nostru jail.conf cu:

cp -pf /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Și continuăm să edităm acum cu nano:

nano /etc/fail2ban/jail.local

În interior mergem la secțiunea [Implicit] unde putem face unele ajustări.

Aici în partea „ingoreip” sunt adresele IP care vor fi lăsate deoparte și vor fi complet ignorate de Fail2Ban, adică IP-ul serverului (cel local) și celelalte despre care credeți că ar trebui ignorate.

De acolo încolo celelalte adrese IP care au acces nereușit vor fi la mila de a fi interzise și așteptați numărul de secunde în care va fi interzis (în mod implicit sunt 3600 de secunde) și că fail2ban acționează numai după 6 încercări eșuate

După configurarea generală, vom indica acum serviciul. Fail2Ban are deja câteva filtre predefinite pentru diverse servicii. Deci, faceți câteva adaptări. Iată un exemplu:

[ssh] enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6

Odată cu modificările relevante, va trebui să reîncărcați Fail2Ban, care rulează:

service fail2ban reload
systemctl enable firewalld
systemctl start firewalld

După ce ați făcut acest lucru, să facem o verificare rapidă pentru a vedea dacă Fail2Ban rulează:

sudo fail2ban-client status

Anulați un IP

Acum, că am interzis cu succes un IP, ce se întâmplă dacă vrem să anulăm un IP? Pentru a face acest lucru, putem folosi din nou fail2ban-client și să-i spunem să anuleze un anumit IP, ca în exemplul de mai jos.

sudo fail2ban-client set ssh unbanip xxx.xxx.xx.xx

Unde „xxx ....” Va fi adresa IP pe care o indicați.


Conținutul articolului respectă principiile noastre de etică editorială. Pentru a raporta o eroare, faceți clic pe aici.

Fii primul care comenteaza

Lasă comentariul tău

Adresa ta de email nu va fi publicată.

*

*

  1. Responsabil pentru date: Miguel Ángel Gatón
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.