Svi poslužitelji kojima je moguće pristupiti s Interneta ugroženi su napadima zlonamjernog softvera. Na primjer, ako imate program koji je dostupan s javne mreže, napadači mogu pokušati grubom silom pristupiti aplikaciji.
Fail2ban je alat koji pomaže zaštititi vaš Linux stroj od grube sile i drugih automatiziranih napada nadgledanjem dnevnika usluga radi zlonamjernih aktivnosti. Koristi regularne izraze za skeniranje datoteka dnevnika. Broje se svi unosi koji se podudaraju s uzorcima, a kada njihov broj dosegne određeni unaprijed definirani prag, Fail2ban zabranjuje vrijeđajuću IP adresu pomoću zaštitnog zida sustava na određeno vrijeme. Kad istekne razdoblje zabrane, IP adresa se uklanja s popisa zabrana.
Ovaj članak objašnjava kako instalirati i konfigurirati Fail2ban na Debianu 10.
Instaliranje Fail2ban na Debianu #
Paket Fail2ban uključen je u zadana spremišta Debian 10. Da biste ga instalirali, pokrenite sljedeću naredbu kao root ili korisnik sa sudo privilegijama:
sudo apt ažuriranje
sudo apt instalirati fail2ban
Po završetku usluga Fail2ban automatski će se pokrenuti. Možete ga provjeriti provjerom statusa usluge:
sudo systemctl status fail2ban
Izlaz će izgledati ovako:
● fail2ban.usluga - Fail2Ban Usluga učitana: učitana (/ lib / systemd / system / fail2ban.servis; omogućeno; unaprijed postavljeno: dobavljač aktivan: aktivan (aktivan) od srijede 2021-03-10 18:57:32 UTC; Prije 47s ..
To je to. U ovom trenutku na vašem Debian poslužitelju pokrenut je Fail2Ban.
Fail2ban konfiguracija #
Zadana instalacija Fail2ban dolazi s dvije konfiguracijske datoteke, / etc / fail2ban / jail.konf
i / etc / fail2ban / jail.d / zadane postavke-debian.konf
. Ne biste trebali mijenjati ove datoteke jer se mogu prebrisati kada se paket ažurira.
Fail2ban čita konfiguracijske datoteke sljedećim redoslijedom. Svaki .lokalno
datoteka poništava postavke iz datoteke .konf
datoteka:
/ etc / fail2ban / jail.konf
/ etc / fail2ban / jail.d / *.konf
/ etc / fail2ban / jail.lokalno
/ etc / fail2ban / jail.d / *.lokalno
Najlakši način konfiguriranja Fail2ban je kopiranje datoteke zatvor.konf
do zatvor.lokalno
i izmijeniti .lokalno
datoteka. Napredniji korisnici mogu izraditi .lokalno
konfiguracijska datoteka od nule. The .lokalno
datoteka ne mora sadržavati sve postavke iz odgovarajuće .konf
datoteku, samo one koje želite poništiti.
Stvoriti .lokalno
konfiguracijsku datoteku kopiranjem zadane zatvor.konf
datoteka:
sudo cp / etc / fail2ban / jail.conf, lokalno
Da biste započeli konfiguriranje otvorenog poslužitelja Fail2ban, zatvor.lokalno
datoteka s uređivačem teksta:
sudo nano / etc / fail2ban / jail.lokalno
Datoteka uključuje komentare koji opisuju što svaka opcija konfiguracije radi. U ovom ćemo primjeru promijeniti osnovne postavke.
IP adrese s bijele liste #
IP adrese, rasponi IP ili hostovi koje želite isključiti iz zabrane mogu se dodati u ignorirati
direktiva. Ovdje biste trebali dodati lokalnu IP adresu računala i sve ostale strojeve koje želite staviti na popis dopuštenih.
Prekomentirajte redak koji započinje s ignorirati
i dodajte svoje IP adrese odvojene razmakom:
ignoreip = 127.0.0.1/8 :: 1 123.123.123.123 192.168.1.0/24
Postavke zabrane #
bantime
, pronađi vrijeme
, i maxretry
opcije postavljaju vrijeme zabrane i uvjete zabrane.
bantime
je trajanje zabrane IP-a. Kad nije naveden nijedan sufiks, zadane vrijednosti su sekunde. Prema zadanim postavkama bantime
vrijednost je postavljena na 10 minuta. Većina korisnika radije postavlja duže vrijeme zabrane. Promijenite vrijednost po svom ukusu:
bantime = 1d
Da biste trajno zabranili IP, upotrijebite negativni broj.
pronađi vrijeme
je trajanje između broja kvarova prije postavljanja zabrane. Na primjer, ako je Fail2ban postavljen da zabrani IP nakon pet neuspjeha (maxretry
, vidi dolje), ti se kvarovi moraju dogoditi unutar pronađi vrijeme
trajanje.
vrijeme pronalaska = 10m
maxretry
je broj kvarova prije zabrane IP-a. Zadana vrijednost postavljena je na pet, što bi za većinu korisnika trebalo biti u redu.
maxretry = 5
Obavijesti e-poštom #
Fail2ban može slati upozorenja e-poštom kada je IP zabranjen. Da biste primali e-poštu, na vašem poslužitelju morate instalirati SMTP i promijeniti zadanu radnju koja zabranjuje samo IP % (action_mw) s
, kako je prikazano dolje:
akcija =% (akcija_mw) s
% (action_mw) s
zabranjuje prekršajnu IP adresu i šalje e-poštu s whois izvješćem. Ako želite uključiti relevantne zapisnike u e-poštu, postavite akciju na % (action_mwl) s
.
Također možete promijeniti adrese e-pošte za slanje i primanje:
/ etc / fail2ban / jail.lokalnodestemail = admin @ linuxize.com pošiljatelj = root @ linuxize.com
Zatvori Fail2ban #
Fail2ban koristi koncept zatvora. Zatvor opisuje uslugu i uključuje filtre i radnje. Broje se unosi dnevnika koji se podudaraju s uzorkom pretraživanja, a kada se ispuni unaprijed definirani uvjet, izvršavaju se odgovarajuće radnje.
Fail2ban isporučuje nekoliko zatvora za različite usluge. Također možete stvoriti vlastite konfiguracije zatvora. Prema zadanim postavkama omogućen je samo ssh zatvor.
Da biste omogućili zatvor, morate dodati omogućeno = istinito
nakon titule u zatvoru. Sljedeći primjer pokazuje kako omogućiti postfix zatvor:
[postfix] omogućen = true port = smtp, ssmtp filter = postfix logpath = / var / log / mail.zapisnik
Postavke o kojima smo razgovarali u prethodnom odjeljku mogu se postaviti po zatvoru. Evo primjera:
/ etc / fail2ban / jail.lokalno[sshd] omogućeno = true maxretry = 3 findtime = 1d bantime = 4w ignoreip = 127.0.0.1/8 11.22.33.44
Filteri se nalaze u / etc / fail2ban / filter.d
direktorij, pohranjen u datoteci s istim imenom kao zatvor. Ako imate prilagođenu postavku i iskustvo s regularnim izrazima, možete fino podesiti filtre.
Svaki put kad se konfiguracijska datoteka promijeni, usluga Fail2ban mora se ponovno pokrenuti da bi promjene stupile na snagu:
sudo systemctl ponovno pokrenite fail2ban
Broj klijenta Fail2ban
Fail2ban se isporučuje s imenom alata za naredbene retke fail2ban-client
koje možete koristiti za interakciju s uslugom Fail2ban.
Da biste pregledali sve dostupne opcije, pozovite naredbu pomoću -h
opcija:
fail2ban-client -h
Ovaj se alat može koristiti za zabranu / zabranu zabrane IP adresa, promjenu postavki, ponovno pokretanje usluge i još mnogo toga. Evo nekoliko primjera:
Dohvatite trenutni status poslužitelja:
sudo fail2ban-status klijenta
Provjerite status zatvora:
sudo fail2ban-status klijenta sshd
Zabranite pristup IP-u:
sudo fail2ban-client set sshd unbanip 11.22.33.44
Zabranite IP:
sudo fail2ban-client set sshd banip 11.22.33.44
Zaključak #
Pokazali smo vam kako instalirati i konfigurirati Fail2ban na Debianu 10.
Za više informacija o ovoj temi posjetite dokumentaciju Fail2ban .
Ako imate pitanja, slobodno ostavite komentar ispod.