Një nga vektorët më të zakonshëm të sulmit ndaj serverave janë përpjekjet për hyrje të forcës brutale. Kjo është ajo ku sulmuesit përpiqen të hyjnë në serverin tuaj, duke provuar kombinime të pafund të emrave të përdoruesit dhe fjalëkalimeve.
Për këto lloj problemesh zgjidhja më e shpejtë dhe më efektive është kufizimi i numrit të përpjekjeve dhe bllokimi i hyrjes te përdoruesi ose ajo IP për një kohë të caktuar. Alsoshtë gjithashtu e rëndësishme të dini se për këtë ekzistojnë edhe aplikacione me burim të hapur të dizajnuara posaçërisht për tu mbrojtur nga ky lloj sulmi.
Në postimin e sotëm, Unë do t'ju prezantoj një quhet Fail2Ban. Fillimisht i zhvilluar nga Cyril Jaquier në 2004, Fail2Ban është një kornizë softuerësh për parandalimin e ndërhyrjeve që mbron serverat nga sulmet e forcës brutale.
Rreth Fail2ban
Fail2ban skanon skedarët e regjistrave (/ var / log / apache / error_log) dhe ndalon IP-të që tregojnë aktivitet dashakeqës, si shumë fjalëkalime të gabuara dhe kërkimi i dobësive etj.
Në përgjithësi, Fail2Ban përdoret për të azhurnuar rregullat e firewall për të refuzuar adresat IP për një kohë të caktuar, megjithëse çdo veprim tjetër arbitrar (për shembull, dërgoni një email) gjithashtu mund të konfigurohet.
Instalimi i Fail2Ban në Linux
Fail2Ban gjendet në shumicën e depove të shpërndarjeve kryesore të Linux dhe më konkretisht në ato më të përdorurat për përdorim në servera, të tilla si CentOS, RHEL dhe Ubuntu.
Në rastin e Ubuntu, thjesht shkruani sa më poshtë për instalim:
sudo apt-get update && sudo apt-get install -y fail2ban
Ndërsa në rastin e Centos dhe RHEL, ata duhet të shkruajnë sa vijon:
yum install epel-release
yum install fail2ban fail2ban-systemd
Nëse keni SELinux është e rëndësishme të azhurnoni politikat me:
yum update -y selinux-policy*
Sapo të bëhet kjo, ata duhet të dinë në plan të parë që skedarët e konfigurimit të Fail2Ban janë në / etc / fail2ban.
Konfigurimi i Fail2Ban është i ndarë kryesisht në dy skedarë kryesorë; këto janë fail2ban.conf dhe jail.conf. fail2ban.confiles skedarin më të madh të konfigurimit Fail2Ban, ku mund të konfiguroni cilësime të tilla si:
- Niveli i regjistrit.
- Skedari për tu identifikuar.
- Skedari i folesë së procesit.
- Dosja pid.
jail.conf është vendi ku konfiguroni opsione si:
- Konfigurimi i shërbimeve për tu mbrojtur.
- Sa kohë të ndalohet nëse duhen sulmuar.
- Adresa e postës elektronike për të dërguar raporte.
- Veprimi për të ndërmarrë kur zbulohet një sulm.
- Një grup i paracaktuar i cilësimeve, të tilla si SSH.
konfiguracion
Tani do të kalojmë në pjesën e konfigurimit, Gjëja e parë që do të bëjmë është një kopje rezervë e skedarit tonë jail.conf me:
cp -pf /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Dhe ne vazhdojmë të redaktojmë tani me nano:
nano /etc/fail2ban/jail.local
Brenda ne shkojmë në seksionin [Default] ku mund të bëjmë disa rregullime.
Këtu në pjesën "ingoreip" janë adresat IP që do të lihen jashtë dhe ato do të injorohen plotësisht nga Fail2Ban, që në thelb është IP-ja e serverit (ajo lokale) dhe të tjerët që mendoni se duhet të injorohen.
Nga atje e tutje IP-të e tjera që kanë akses të dështuar do të jenë në mëshirën e ndalimit dhe prisni për numrin e sekondave që do të ndalohet (automatikisht është 3600 sekonda) dhe që fail2ban vepron vetëm pas 6 përpjekjeve të dështuara
Pas konfigurimit të përgjithshëm, tani do të tregojmë shërbimin. Fail2Ban tashmë ka disa filtra të paracaktuar për shërbime të ndryshme. Pra, thjesht bëni disa adaptime. Këtu është një shembull:
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
Me ndryshimet përkatëse të bëra, më në fund do t'ju duhet të rimbushni Fail2Ban, duke ekzekutuar:
service fail2ban reload
systemctl enable firewalld
systemctl start firewalld
Me këtë të bërë, le të bëjmë një kontroll të shpejtë për të parë që Fail2Ban po ekzekuton:
sudo fail2ban-client status
Çbllokoni një IP
Tani që kemi ndaluar me sukses një IP, po sikur të duam të heqim një IP? Për ta bërë atë, ne përsëri mund të përdorim klientin fail2ban dhe t'i themi asaj që të heqë një IP specifike, si në shembullin më poshtë.
sudo fail2ban-client set ssh unbanip xxx.xxx.xx.xx
Ku "xxx". Do të jetë adresa IP që ju tregoni.