Phenquestions
Svi poslužitelji kojima je moguće pristupiti s Interneta ugroženi su napadima zlonamjernog softvera. Na primjer, ako imate program koji je dostupan s javne mreže, napadači mogu pokušati grubom silom pristupiti aplikaciji.
Fail2ban je alat koji pomaže zaštititi vaš Linux stroj od grube sile i drugih automatiziranih napada nadgledanjem dnevnika usluga radi zlonamjernih aktivnosti. Koristi regularne izraze za skeniranje datoteka dnevnika. Broje se svi unosi koji se podudaraju s uzorcima, a kada njihov broj dosegne određeni unaprijed definirani prag, Fail2ban zabranjuje vrijeđajuću IP adresu pomoću zaštitnog zida sustava na određeno vrijeme. Kad istekne razdoblje zabrane, IP adresa se uklanja s popisa zabrana.
Ovaj članak objašnjava kako instalirati i konfigurirati Fail2ban na Debianu 10.
Instaliranje Fail2ban na Debianu #
Paket Fail2ban uključen je u zadana spremišta Debian 10. Da biste ga instalirali, pokrenite sljedeću naredbu kao root ili korisnik sa sudo privilegijama:
sudo apt ažuriranjesudo apt instalirati fail2ban
Po završetku usluga Fail2ban automatski će se pokrenuti. Možete ga provjeriti provjerom statusa usluge:
sudo systemctl status fail2banIzlaz će izgledati ovako:
● fail2ban.usluga - Fail2Ban Usluga učitana: učitana (/ lib / systemd / system / fail2ban.servis; omogućeno; unaprijed postavljeno: dobavljač aktivan: aktivan (aktivan) od srijede 2021-03-10 18:57:32 UTC; Prije 47s .. To je to. U ovom trenutku na vašem Debian poslužitelju pokrenut je Fail2Ban.
Fail2ban konfiguracija #
Zadana instalacija Fail2ban dolazi s dvije konfiguracijske datoteke, / etc / fail2ban / jail.konf i / etc / fail2ban / jail.d / zadane postavke-debian.konf. Ne biste trebali mijenjati ove datoteke jer se mogu prebrisati kada se paket ažurira.
Fail2ban čita konfiguracijske datoteke sljedećim redoslijedom. Svaki .lokalno datoteka poništava postavke iz datoteke .konf datoteka:
/ etc / fail2ban / jail.konf/ etc / fail2ban / jail.d / *.konf/ etc / fail2ban / jail.lokalno/ etc / fail2ban / jail.d / *.lokalno
Najlakši način konfiguriranja Fail2ban je kopiranje datoteke zatvor.konf do zatvor.lokalno i izmijeniti .lokalno datoteka. Napredniji korisnici mogu izraditi .lokalno konfiguracijska datoteka od nule. The .lokalno datoteka ne mora sadržavati sve postavke iz odgovarajuće .konf datoteku, samo one koje želite poništiti.
Stvoriti .lokalno konfiguracijsku datoteku kopiranjem zadane zatvor.konf datoteka:
sudo cp / etc / fail2ban / jail.conf, lokalnoDa biste započeli konfiguriranje otvorenog poslužitelja Fail2ban, zatvor.lokalno datoteka s uređivačem teksta:
sudo nano / etc / fail2ban / jail.lokalnoDatoteka uključuje komentare koji opisuju što svaka opcija konfiguracije radi. U ovom ćemo primjeru promijeniti osnovne postavke.
IP adrese s bijele liste #
IP adrese, rasponi IP ili hostovi koje želite isključiti iz zabrane mogu se dodati u ignorirati direktiva. Ovdje biste trebali dodati lokalnu IP adresu računala i sve ostale strojeve koje želite staviti na popis dopuštenih.
Prekomentirajte redak koji započinje s ignorirati i dodajte svoje IP adrese odvojene razmakom:
ignoreip = 127.0.0.1/8 :: 1 123.123.123.123 192.168.1.0/24 Postavke zabrane #
bantime, pronađi vrijeme, i maxretry opcije postavljaju vrijeme zabrane i uvjete zabrane.
bantime je trajanje zabrane IP-a. Kad nije naveden nijedan sufiks, zadane vrijednosti su sekunde. Prema zadanim postavkama bantime vrijednost je postavljena na 10 minuta. Većina korisnika radije postavlja duže vrijeme zabrane. Promijenite vrijednost po svom ukusu:
bantime = 1d Da biste trajno zabranili IP, upotrijebite negativni broj.
pronađi vrijeme je trajanje između broja kvarova prije postavljanja zabrane. Na primjer, ako je Fail2ban postavljen da zabrani IP nakon pet neuspjeha (maxretry, vidi dolje), ti se kvarovi moraju dogoditi unutar pronađi vrijeme trajanje.
vrijeme pronalaska = 10m maxretry je broj kvarova prije zabrane IP-a. Zadana vrijednost postavljena je na pet, što bi za većinu korisnika trebalo biti u redu.
maxretry = 5 Obavijesti e-poštom #
Fail2ban može slati upozorenja e-poštom kada je IP zabranjen. Da biste primali e-poštu, na vašem poslužitelju morate instalirati SMTP i promijeniti zadanu radnju koja zabranjuje samo IP % (action_mw) s, kako je prikazano dolje:
akcija =% (akcija_mw) s % (action_mw) s zabranjuje prekršajnu IP adresu i šalje e-poštu s whois izvješćem. Ako želite uključiti relevantne zapisnike u e-poštu, postavite akciju na % (action_mwl) s.
Također možete promijeniti adrese e-pošte za slanje i primanje:
/ etc / fail2ban / jail.lokalnodestemail = admin @ linuxize.com pošiljatelj = root @ linuxize.com Zatvori Fail2ban #
Fail2ban koristi koncept zatvora. Zatvor opisuje uslugu i uključuje filtre i radnje. Broje se unosi dnevnika koji se podudaraju s uzorkom pretraživanja, a kada se ispuni unaprijed definirani uvjet, izvršavaju se odgovarajuće radnje.
Fail2ban isporučuje nekoliko zatvora za različite usluge. Također možete stvoriti vlastite konfiguracije zatvora. Prema zadanim postavkama omogućen je samo ssh zatvor.
Da biste omogućili zatvor, morate dodati omogućeno = istinito nakon titule u zatvoru. Sljedeći primjer pokazuje kako omogućiti postfix zatvor:
[postfix] omogućen = true port = smtp, ssmtp filter = postfix logpath = / var / log / mail.zapisnik Postavke o kojima smo razgovarali u prethodnom odjeljku mogu se postaviti po zatvoru. Evo primjera:
/ etc / fail2ban / jail.lokalno[sshd] omogućeno = true maxretry = 3 findtime = 1d bantime = 4w ignoreip = 127.0.0.1/8 11.22.33.44 Filteri se nalaze u / etc / fail2ban / filter.d direktorij, pohranjen u datoteci s istim imenom kao zatvor. Ako imate prilagođenu postavku i iskustvo s regularnim izrazima, možete fino podesiti filtre.
Svaki put kad se konfiguracijska datoteka promijeni, usluga Fail2ban mora se ponovno pokrenuti da bi promjene stupile na snagu:
sudo systemctl ponovno pokrenite fail2banBroj klijenta Fail2ban
Fail2ban se isporučuje s imenom alata za naredbene retke fail2ban-client koje možete koristiti za interakciju s uslugom Fail2ban.
Da biste pregledali sve dostupne opcije, pozovite naredbu pomoću -h opcija:
fail2ban-client -hOvaj se alat može koristiti za zabranu / zabranu zabrane IP adresa, promjenu postavki, ponovno pokretanje usluge i još mnogo toga. Evo nekoliko primjera:
Dohvatite trenutni status poslužitelja:
sudo fail2ban-status klijentaProvjerite status zatvora:
sudo fail2ban-status klijenta sshdZabranite pristup IP-u:
sudo fail2ban-client set sshd unbanip 11.22.33.44Zabranite IP:
sudo fail2ban-client set sshd banip 11.22.33.44
Zaključak #
Pokazali smo vam kako instalirati i konfigurirati Fail2ban na Debianu 10.
Za više informacija o ovoj temi posjetite dokumentaciju Fail2ban .
Ako imate pitanja, slobodno ostavite komentar ispod.
