Fail2Ban je odlična možnost za odbijanje napadov s silo na vaš strežnik

fail2ban

Eden najpogostejših vektorjev napadov na strežnike so poskusi brutalne prijave. Tu napadalci poskušajo dostopati do vašega strežnika in preizkušajo neskončne kombinacije uporabniških imen in gesel.

Za tovrstne težave najhitrejša in najučinkovitejša rešitev je omejiti število poskusov in blokirati dostop do uporabnika ali tega IP-ja za določen čas. Pomembno je tudi vedeti, da za to obstajajo tudi odprtokodne aplikacije, posebej zasnovane za obrambo pred tovrstnimi napadi.

V današnji objavi Predstavil vam bom, da se ena imenuje Fail2Ban. Fail2004Ban, ki ga je prvotno razvil Cyril Jaquier leta 2, je programska oprema za preprečevanje vdorov, ki ščiti strežnike pred napadi surove sile.

O Fail2banu

Fail2ban skenira dnevniške datoteke (/ var / log / apache / error_log) in prepoveduje IP-je, ki kažejo zlonamerno dejavnost, kot preveč napačnih gesel in iskanje ranljivosti itd.

Na splošno Fail2Ban se uporablja za posodobitev pravil požarnega zidu za zavrnitev naslovov IP za določen čas, čeprav je mogoče konfigurirati tudi katero koli drugo samovoljno dejanje (na primer pošiljanje e-pošte).

Namestitev Fail2Ban v Linux

Fail2Ban najdemo v večini skladišč glavnih distribucij Linuxa in natančneje v najbolj uporabljenih za uporabo na strežnikih, kot so CentOS, RHEL in Ubuntu.

V primeru Ubuntuja za namestitev preprosto vnesite naslednje:

sudo apt-get update && sudo apt-get install -y fail2ban

V primeru Centos in RHEL morajo vnesti naslednje:

yum install epel-release
yum install fail2ban fail2ban-systemd

Če imate SELinux, je pomembno, da posodobite pravilnike z:

yum update -y selinux-policy*

Ko to storijo, bi morali v ospredju vedeti, da so konfiguracijske datoteke Fail2Ban v / etc / fail2ban.

Konfiguracija Fail2Ban je v glavnem razdeljen na dve ključni datoteki; to sta fail2ban.conf in jail.conf. fail2ban.confes večjo konfiguracijsko datoteko Fail2Ban, kjer lahko konfigurirate nastavitve, kot so:

  • Raven dnevnika.
  • Datoteka za prijavo.
  • Datoteka procesne vtičnice.
  • Datoteka pid.

jail.conf je kraj, kjer konfigurirate možnosti, kot so:

  • Konfiguracija storitev za obrambo.
  • Kako dolgo prepovedati, če jih je treba napasti.
  • E-poštni naslov za pošiljanje poročil.
  • Dejanje, ki se izvede, ko se zazna napad.
  • Vnaprej določen nabor nastavitev, na primer SSH.

konfiguracija

Zdaj bomo prešli na konfiguracijski del, Prva stvar, ki jo bomo storili, je varnostna kopija naše datoteke jail.conf z:

cp -pf /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

In zdaj nadaljujemo z urejanjem z nano:

nano /etc/fail2ban/jail.local

V notranjosti gremo v razdelek [Privzeto], kjer lahko naredimo nekaj prilagoditev.

Tu so v delu "ingoreip" naslovi IP, ki bodo izpuščeni in Fail2Ban jih bo popolnoma prezrl, to je v bistvu IP strežnika (lokalni) in ostale, za katere menite, da jih je treba prezreti.

Od tam naprej drugi IP-ji, ki niso imeli dostopa, bodo prepuščeni na milost in nemilost in počakajte, koliko sekund bo prepovedano (privzeto 3600 sekund) in da fail2ban deluje šele po 6 neuspelih poskusih

Po splošni konfiguraciji bomo zdaj navedli storitev. Fail2Ban že ima nekaj vnaprej določenih filtrov za različne storitve. Torej naredite le nekaj prilagoditev. Tu je primer:

[ssh] enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6

Z ustreznimi spremembami boste končno morali znova naložiti Fail2Ban, ki se izvaja:

service fail2ban reload
systemctl enable firewalld
systemctl start firewalld

Ko končamo, na hitro preverimo, ali se Fail2Ban izvaja:

sudo fail2ban-client status

Odstranite IP

Zdaj, ko smo uspešno prepovedali IP, kaj, če želimo prepovedati IP? Če želite to narediti, lahko znova uporabimo fail2ban-client in mu naročimo, naj izključi določen IP, kot v spodnjem primeru.

sudo fail2ban-client set ssh unbanip xxx.xxx.xx.xx

Kje "xxx ...." To boste navedli naslov IP.


Bodite prvi komentar

Pustite svoj komentar

Vaš e-naslov ne bo objavljen. Obvezna polja so označena z *

*

*

  1. Za podatke odgovoren: Miguel Ángel Gatón
  2. Namen podatkov: Nadzor neželene pošte, upravljanje komentarjev.
  3. Legitimacija: Vaše soglasje
  4. Sporočanje podatkov: Podatki se ne bodo posredovali tretjim osebam, razen po zakonski obveznosti.
  5. Shranjevanje podatkov: Zbirka podatkov, ki jo gosti Occentus Networks (EU)
  6. Pravice: Kadar koli lahko omejite, obnovite in izbrišete svoje podatke.