Jedným z najbežnejších vektorov útoku proti serverom sú pokusy o prihlásenie hrubou silou. Tu sa útočníci pokúšajú získať prístup k vášmu serveru a skúšajú nekonečné kombinácie používateľských mien a hesiel.
Pre tieto typy problémov Najrýchlejším a najefektívnejším riešením je obmedziť počet pokusov a zablokovať prístup k používateľovi alebo danej IP adrese. na určité časové obdobie. Je tiež dôležité vedieť, že existujú aplikácie s otvoreným zdrojovým kódom špeciálne navrhnuté na obranu proti tomuto typu útoku.
V dnešnom príspevku Predstavím vám jeden s názvom Fail2BanFail2Ban, pôvodne vyvinutý Cyrilom Jaquierom v roku 2004, je softvérový framework na prevenciu prienikov, ktorý chráni servery pred útokmi hrubou silou.
O Fail2bane
Fail2ban skenuje súbory protokolov (/var/log/apache/error_log) a zakazuje IP adresy, ktoré vykazujú škodlivú aktivitu, ako napríklad príliš veľa chýb v heslách a hľadanie zraniteľností atď.
Všeobecne platí, Fail2Ban sa používa na aktualizáciu pravidiel firewallu tak, aby odmietali IP adresy. na určitý čas, hoci je možné nakonfigurovať aj akúkoľvek inú ľubovoľnú akciu (napríklad odoslanie e-mailu).
Inštalácia Fail2Ban na Linuxe
Fail2Ban sa nachádza vo väčšine repozitárov hlavných linuxových distribúcií, a konkrétnejšie v tých, ktoré sa najčastejšie používajú pre serverové aplikácie, ako napríklad CentOS, RHEL a Ubuntu.
V prípade Ubuntu jednoducho nainštalujte nasledovné:
sudo apt-get update && sudo apt-get install -y fail2ban
Pre CentOS a RHEL by ste mali zadať nasledovné:
yum install epel-release
yum install fail2ban fail2ban-systemd
Ak máte SELinux, je dôležité aktualizovať pravidlá o:
yum update -y selinux-policy*
Keď to urobíte, mali by ste v prvom rade vedieť, že konfiguračné súbory Fail2Ban sa nachádzajú v súbore /etc/fail2ban.
Konfigurácia Fail2Ban je rozdelený hlavne do dvoch kľúčových súborovSú to súbory fail2ban.conf a jail.conf. fail2ban.conf je najkomplexnejší konfiguračný súbor Fail2Ban, kde môžete nakonfigurovať nastavenia ako napríklad:
- Úroveň registrácie.
- Súbor na prihlásenie.
- Súbor soketu procesu.
- Súbor PID.
V súbore jail.conf konfigurujete možnosti ako napríklad:
- Konfigurácia služieb, ktoré sa majú brániť.
- Na ako dlho by mali byť zakázaní, ak by na nich niekto mal útočiť?
- E-mailová adresa na odosielanie prehľadov.
- Akcia, ktorú treba vykonať pri zistení útoku.
- Preddefinovaná sada konfigurácií, ako napríklad SSH.
konfigurácia
Teraz prejdeme do sekcie konfigurácie, Prvá vec, ktorú urobíme, je zálohovať náš súbor jail.conf pomocou:
cp -pf /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
A teraz pokračujeme v úpravách pomocou nano:
nano /etc/fail2ban/jail.local
Vnútri prejdeme do sekcie [Predvolené], kde môžeme vykonať nejaké úpravy.
V sekcii „ingoreip“ sú IP adresy, ktoré budú vynechané. a Fail2Ban ju úplne ignoruje, čo je v podstate IP adresa servera (lokálna) a ostatné, ktoré by podľa vás mali byť ignorované.
Odtiaľ ďalej Ostatné IP adresy, u ktorých sa pokusy o prístup neúspešne vyskytnú, budú zablokované. a počkajte počet sekúnd, počas ktorých bude zablokovaná (predvolene je to 3600 sekúnd) a aby sa fail2ban aktivoval až po 6 neúspešných pokusoch.
Po všeobecnom nastavení teraz špecifikujeme službu. Fail2Ban už má niekoľko preddefinovaných filtrov pre rôzne služby. Takže stačí urobiť niekoľko úprav. Tu je príklad:
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
Po vykonaní príslušných zmien budú musieť nakoniec znova načítať Fail2Ban spustením:
service fail2ban reload
systemctl enable firewalld
systemctl start firewalld
Keď to urobíme, rýchlo skontrolujme, či Fail2Ban beží:
sudo fail2ban-client status
Zrušiť zablokovanie IP adresy
Teraz, keď sme úspešne zablokovali IP adresu, čo ak ju chceme zrušiť? Na to môžeme opäť použiť fail2ban-client a povedať mu, aby zrušil zablokovanie konkrétnej IP adresy, ako v nasledujúcom príklade.
sudo fail2ban-client set ssh unbanip xxx.xxx.xx.xx
Kde „xxx….“ bude IP adresa, ktorú zadáte.