Sunuculara yönelik en yaygın saldırı vektörlerinden biri kaba kuvvetle oturum açma girişimleridir. Saldırganların sonsuz sayıda kullanıcı adı ve şifre kombinasyonunu deneyerek sunucunuza erişmeye çalıştığı yer burasıdır.
Bu tür sorunlar için En hızlı ve etkili çözüm, deneme sayısını sınırlamak ve kullanıcıya veya o IP'ye erişimi engellemektir. belli bir süre için. Bunun için, bu tür saldırılara karşı özel olarak tasarlanmış açık kaynaklı uygulamaların da bulunduğunu bilmek de önemlidir.
Bugünün gönderisinde, Sizi Fail2Ban adlı biriyle tanıştıracağım. İlk olarak 2004 yılında Cyril Jaquier tarafından geliştirilen Fail2Ban, sunucuları kaba kuvvet saldırılarına karşı koruyan bir izinsiz giriş önleme yazılım çerçevesidir.
Fail2ban Hakkında
Fail2ban günlük dosyalarını tarar (/var/log/Apache/error_log) ve kötü amaçlı etkinlik gösteren IP'leri yasaklar, çok fazla şifre hatası ve güvenlik açığı araması vb. gibi.
Genel olarak, Fail2Ban, IP adreslerini reddetmek amacıyla güvenlik duvarı kurallarını güncellemek için kullanılır belirli bir süre için, ancak başka herhangi bir isteğe bağlı eylem (örneğin, e-posta göndermek) de yapılandırılabilir.
Fail2Ban'ı Linux'a Kurmak
Fail2Ban, ana Linux dağıtımlarının depolarının çoğunda ve daha spesifik olarak CentOS, RHEL ve Ubuntu gibi sunucularda kullanım için en çok kullanılan depolarda bulunur.
Ubuntu durumunda, kurulum için aşağıdakini yazmanız yeterlidir:
sudo apt-get update && sudo apt-get install -y fail2ban
Centos ve RHEL durumunda aşağıdakileri yazmanız gerekir:
yum install epel-release
yum install fail2ban fail2ban-systemd
SELinux'unuz varsa politikaları aşağıdakilerle güncellemeniz önemlidir:
yum update -y selinux-policy*
Bu yapıldıktan sonra, öncelikle Fail2Ban yapılandırma dosyalarının /etc/fail2ban içinde olduğunu bilmelisiniz.
Konfigürasyonu Fail2Ban temel olarak iki anahtar dosyaya bölünmüştür; bunlar fail2ban.conf ve jail.conf'tur. fail2ban.confes, aşağıdaki gibi ayarları yapılandırabileceğiniz en büyük Fail2Ban yapılandırma dosyasını oluşturur:
- Kayıt düzeyi.
- Oturum açacağınız dosya.
- İşlem soket dosyası.
- Dosya pid'si.
jail.conf, aşağıdaki gibi seçenekleri yapılandırdığınız yerdir:
- Savunulacak hizmetlerin yapılandırması.
- Saldırıya uğramaları halinde ne kadar süreyle yasaklanacakları.
- Raporların gönderileceği e-posta adresi.
- Bir saldırı tespit edildiğinde gerçekleştirilecek eylem.
- SSH gibi önceden tanımlanmış bir dizi ayar.
yapılandırma
Şimdi konfigürasyon kısmına geçelim, Yapacağımız ilk şey jail.conf dosyamızı şununla yedeklemek:
cp -pf /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Ve şimdi nano ile düzenlemeye devam ediyoruz:
nano /etc/fail2ban/jail.local
İçeride bazı ayarlamalar yapabileceğimiz [Varsayılan] bölümüne gidiyoruz.
Burada “ingoreip” kısmında dışarıda bırakılacak IP adresleri var. ve bunlar Fail2Ban tarafından tamamen göz ardı edilecektir, yani temel olarak sunucunun IP'si (yerel olan) ve göz ardı edilmesi gerektiğini düşündüğünüz diğerleri.
Oradan sonra Erişimi başarısız olan diğer IP'ler yasaklanmanın insafına kalacak ve yasaklanacağı saniye sayısını bekleyin (varsayılan olarak 3600 saniyedir) ve fail2ban yalnızca 6 başarısız denemeden sonra devreye girer
Genel konfigürasyonun ardından artık servisi belirteceğiz. Fail2Ban'ın çeşitli hizmetler için önceden tanımlanmış bazı filtreleri zaten vardır. O yüzden bazı uyarlamalar yapın. İşte bir örnek:
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
Yapılan ilgili değişikliklerle, sonunda Fail2Ban'ı yeniden yüklemeniz gerekecek.:
service fail2ban reload
systemctl enable firewalld
systemctl start firewalld
Bu yapıldıktan sonra Fail2Ban'ın çalıştığını görmek için hızlı bir kontrol yapalım:
sudo fail2ban-client status
Bir IP yasağını kaldır
Artık bir IP'yi başarıyla yasakladığımıza göre, bir IP yasağını kaldırmak istersek ne olur? Bunu yapmak için yine fail2ban-client'ı kullanabilir ve aşağıdaki örnekte olduğu gibi belirli bir IP yasağını kaldırmasını söyleyebiliriz.
sudo fail2ban-client set ssh unbanip xxx.xxx.xx.xx
Nerede “xxx…” Belirttiğiniz IP adresi olacaktır.