Vsi strežniki, ki so dostopni iz interneta, so izpostavljeni napadom zlonamerne programske opreme. Če imate na primer aplikacijo, ki je dostopna iz javnega omrežja, lahko napadalci s poskusi brutalne sile pridobijo dostop do aplikacije.
Fail2ban je orodje, ki pomaga zaščititi vaš računalnik Linux pred grobo silo in drugimi avtomatiziranimi napadi s spremljanjem dnevnikov storitev za zlonamerno dejavnost. Za skeniranje dnevniških datotek uporablja regularne izraze. Štejejo se vsi vnosi, ki se ujemajo z vzorci, in ko njihovo število doseže določen vnaprej določen prag, Fail2ban za določen čas prepove IP, ki krši, s sistemskim požarnim zidom. Ko se obdobje prepovedi izteče, se naslov IP odstrani s seznama prepovedi.
V tem članku je razloženo, kako namestiti in konfigurirati Fail2ban v Debian 10.
Namestitev Fail2ban na Debian #
Paket Fail2ban je vključen v privzete repozitorije Debian 10. Če ga želite namestiti, zaženite naslednji ukaz kot root ali uporabnik s privilegiji sudo:
posodobitev sudo apt
sudo apt namestite
Po zaključku se bo storitev Fail2ban samodejno zagnala. To lahko preverite s preverjanjem statusa storitve:
sudo systemctl status fail2ban
Rezultat bo videti tako:
● fail2ban.storitev - Fail2Ban Service Loaded: naložen (/ lib / systemd / system / fail2ban.storitev; omogočeno; prednastavitev prodajalca: omogočeno) Aktivno: aktivno (v teku) od sre 2021-03-10 18:57:32 UTC; Pred 47 leti ..
To je to. V tem trenutku je na vašem strežniku Debian zagnan Fail2Ban.
Konfiguracija Fail2ban #
Privzeta namestitev Fail2ban ima dve konfiguracijski datoteki, / etc / fail2ban / zapor.conf
in / etc / fail2ban / zapor.d / privzeto-debian.conf
. Teh datotek ne smete spreminjati, saj se ob posodobitvi paketa lahko prepišejo.
Fail2ban bere konfiguracijske datoteke v naslednjem vrstnem redu. Vsak .lokalno
datoteka preglasi nastavitve iz datoteke .conf
mapa:
/ etc / fail2ban / zapor.conf
/ etc / fail2ban / zapor.d / *.conf
/ etc / fail2ban / zapor.lokalno
/ etc / fail2ban / zapor.d / *.lokalno
Najlažji način za nastavitev Fail2ban je kopiranje datoteke zapor.conf
do zapor.lokalno
in spremenite .lokalno
mapa. Naprednejši uporabniki lahko zgradijo .lokalno
konfiguracijska datoteka iz nič. The .lokalno
datoteka ne mora vsebovati vseh nastavitev iz ustrezne .conf
datoteko, samo tiste, ki jih želite preglasiti.
Ustvariti .lokalno
s kopiranjem privzete datoteke zapor.conf
mapa:
sudo cp / etc / fail2ban / jail.conf, lokalno
Če želite začeti konfigurirati strežnik Fail2ban, se odpre zapor.lokalno
datoteka z urejevalnikom besedil:
sudo nano / etc / fail2ban / jail.lokalno
Datoteka vključuje komentarje, ki opisujejo, kaj počne vsaka možnost konfiguracije. V tem primeru bomo spremenili osnovne nastavitve.
Naslov IP na seznamu dovoljenih #
Naslove IP, obsege IP ali gostitelje, ki jih želite izključiti iz prepovedi, lahko dodate v ignoreip
direktive. Tukaj morate dodati svoj lokalni naslov IP za osebni računalnik in vse druge naprave, ki jih želite dodati na seznam dovoljenih.
Prekličite vrstico, začenši z ignoreip
in dodajte svoje naslove IP, ločene s presledkom:
ignoreip = 127.0.0.1/8 :: 1 123.123.123.123 192.168.1.0/24
Nastavitve prepovedi
bantime
, najdite čas
, in maxretry
možnosti določajo čas prepovedi in pogoje prepovedi.
bantime
je čas, za katerega je IP prepovedan. Ko ni podana nobena pripona, je privzeto nastavljena na sekunde. Privzeto je bantime
vrednost je nastavljena na 10 minut. Večina uporabnikov raje nastavi daljši čas prepovedi. Spremenite vrednost po svojem okusu:
bantime = 1d
Če želite IP trajno prepovedati, uporabite negativno številko.
najdite čas
je trajanje med številom napak pred nastavitvijo prepovedi. Če je na primer Fail2ban nastavljen, da prepove IP po petih napakah (maxretry
, glej spodaj), te napake se morajo zgoditi znotraj najdite čas
trajanje.
čas najdbe = 10m
maxretry
je število napak pred prepovedjo IP. Privzeta vrednost je nastavljena na pet, kar bi moralo biti v redu za večino uporabnikov.
maxretry = 5
E-poštna obvestila #
Fail2ban lahko pošlje e-poštna opozorila, ko je IP prepovedan. Če želite prejemati e-pošto, morate imeti na strežniku nameščen SMTP in spremeniti privzeto dejanje, ki IP prepove samo na % (action_mw) s
, kot je prikazano spodaj:
dejanje =% (dejanje_mw) s
% (action_mw) s
prepove krši IP in pošlje e-pošto s prijavo whois. Če želite v e-poštno sporočilo vključiti ustrezne dnevnike, nastavite dejanje na % (action_mwl) s
.
Spremenite lahko tudi e-poštni naslov za pošiljanje in prejemanje:
/ etc / fail2ban / zapor.lokalnodestemail = admin @ linuxize.com pošiljatelj = root @ linuxize.com
Fail2ban Jails #
Fail2ban uporablja koncept zapora. Zapor opisuje storitev in vključuje filtre in dejanja. Štejejo se dnevniški vnosi, ki se ujemajo z vzorcem iskanja, in ko je izpolnjen vnaprej določen pogoj, se izvedejo ustrezna dejanja.
Fail2ban pošilja številne zapore za različne storitve. Ustvarite lahko tudi lastne konfiguracije zapora. Privzeto je omogočen samo zapor ssh.
Če želite omogočiti zapor, morate dodati omogočeno = res
po naslovu zapora. Naslednji primer prikazuje, kako omogočiti zapor postfix:
[postfix] omogočen = true port = smtp, ssmtp filter = postfix logpath = / var / log / mail.log
Nastavitve, o katerih smo razpravljali v prejšnjem poglavju, lahko nastavimo na zapor. Tu je primer:
/ etc / fail2ban / zapor.lokalno[sshd] omogočeno = true maxretry = 3 findtime = 1d bantime = 4w ignoreip = 127.0.0.1/8 11.22.33.44
Filtri se nahajajo v / etc / fail2ban / filter.d
imenik, shranjen v datoteki z istim imenom kot zapor. Če imate nastavitve po meri in imate izkušnje z regularnimi izrazi, lahko natančno nastavite filtre.
Vsako spremembo konfiguracijske datoteke je treba znova zagnati storitev Fail2ban, da spremembe začnejo veljati:
sudo systemctl znova zaženi
Številka odjemalca Fail2ban
Fail2ban je poslan z orodjem ukazne vrstice z imenom fail2ban-client
ki jo lahko uporabite za interakcijo s storitvijo Fail2ban.
Če si želite ogledati vse razpoložljive možnosti, pokličite ukaz s tipko -h
možnost:
fail2ban-client -h
To orodje lahko uporabite za prepoved / prepoved prepovedi naslovov IP, spreminjanje nastavitev, ponovni zagon storitve in še več. Tu je nekaj primerov:
Pridobite trenutno stanje strežnika:
sudo fail2ban-status odjemalca
Preverite stanje zapora:
sudo fail2ban-client status sshd
Prekliči prepoved IP:
sudo fail2ban-client set sshd unbanip 11.22.33.44
Prepovejte IP:
sudo fail2ban-client set sshd banip 11.22.33.44
Zaključek #
Pokazali smo vam, kako namestiti in konfigurirati Fail2ban v Debianu 10.
Za več informacij o tej temi obiščite dokumentacijo Fail2ban .
Če imate vprašanja, pustite komentar spodaj.