Phenquestions
Vsi strežniki, ki so dostopni iz interneta, so izpostavljeni napadom zlonamerne programske opreme. Če imate na primer aplikacijo, ki je dostopna iz javnega omrežja, lahko napadalci s poskusi brutalne sile pridobijo dostop do aplikacije.
Fail2ban je orodje, ki pomaga zaščititi vaš računalnik Linux pred grobo silo in drugimi avtomatiziranimi napadi s spremljanjem dnevnikov storitev za zlonamerno dejavnost. Za skeniranje dnevniških datotek uporablja regularne izraze. Štejejo se vsi vnosi, ki se ujemajo z vzorci, in ko njihovo število doseže določen vnaprej določen prag, Fail2ban za določen čas prepove IP, ki krši, s sistemskim požarnim zidom. Ko se obdobje prepovedi izteče, se naslov IP odstrani s seznama prepovedi.
V tem članku je razloženo, kako namestiti in konfigurirati Fail2ban v Debian 10.
Namestitev Fail2ban na Debian #
Paket Fail2ban je vključen v privzete repozitorije Debian 10. Če ga želite namestiti, zaženite naslednji ukaz kot root ali uporabnik s privilegiji sudo:
posodobitev sudo aptsudo apt namestite
Po zaključku se bo storitev Fail2ban samodejno zagnala. To lahko preverite s preverjanjem statusa storitve:
sudo systemctl status fail2banRezultat bo videti tako:
● fail2ban.storitev - Fail2Ban Service Loaded: naložen (/ lib / systemd / system / fail2ban.storitev; omogočeno; prednastavitev prodajalca: omogočeno) Aktivno: aktivno (v teku) od sre 2021-03-10 18:57:32 UTC; Pred 47 leti .. To je to. V tem trenutku je na vašem strežniku Debian zagnan Fail2Ban.
Konfiguracija Fail2ban #
Privzeta namestitev Fail2ban ima dve konfiguracijski datoteki, / etc / fail2ban / zapor.conf in / etc / fail2ban / zapor.d / privzeto-debian.conf. Teh datotek ne smete spreminjati, saj se ob posodobitvi paketa lahko prepišejo.
Fail2ban bere konfiguracijske datoteke v naslednjem vrstnem redu. Vsak .lokalno datoteka preglasi nastavitve iz datoteke .conf mapa:
/ etc / fail2ban / zapor.conf/ etc / fail2ban / zapor.d / *.conf/ etc / fail2ban / zapor.lokalno/ etc / fail2ban / zapor.d / *.lokalno
Najlažji način za nastavitev Fail2ban je kopiranje datoteke zapor.conf do zapor.lokalno in spremenite .lokalno mapa. Naprednejši uporabniki lahko zgradijo .lokalno konfiguracijska datoteka iz nič. The .lokalno datoteka ne mora vsebovati vseh nastavitev iz ustrezne .conf datoteko, samo tiste, ki jih želite preglasiti.
Ustvariti .lokalno s kopiranjem privzete datoteke zapor.conf mapa:
sudo cp / etc / fail2ban / jail.conf, lokalnoČe želite začeti konfigurirati strežnik Fail2ban, se odpre zapor.lokalno datoteka z urejevalnikom besedil:
sudo nano / etc / fail2ban / jail.lokalnoDatoteka vključuje komentarje, ki opisujejo, kaj počne vsaka možnost konfiguracije. V tem primeru bomo spremenili osnovne nastavitve.
Naslov IP na seznamu dovoljenih #
Naslove IP, obsege IP ali gostitelje, ki jih želite izključiti iz prepovedi, lahko dodate v ignoreip direktive. Tukaj morate dodati svoj lokalni naslov IP za osebni računalnik in vse druge naprave, ki jih želite dodati na seznam dovoljenih.
Prekličite vrstico, začenši z ignoreip in dodajte svoje naslove IP, ločene s presledkom:
ignoreip = 127.0.0.1/8 :: 1 123.123.123.123 192.168.1.0/24 Nastavitve prepovedi
bantime, najdite čas, in maxretry možnosti določajo čas prepovedi in pogoje prepovedi.
bantime je čas, za katerega je IP prepovedan. Ko ni podana nobena pripona, je privzeto nastavljena na sekunde. Privzeto je bantime vrednost je nastavljena na 10 minut. Večina uporabnikov raje nastavi daljši čas prepovedi. Spremenite vrednost po svojem okusu:
bantime = 1d Če želite IP trajno prepovedati, uporabite negativno številko.
najdite čas je trajanje med številom napak pred nastavitvijo prepovedi. Če je na primer Fail2ban nastavljen, da prepove IP po petih napakah (maxretry, glej spodaj), te napake se morajo zgoditi znotraj najdite čas trajanje.
čas najdbe = 10m maxretry je število napak pred prepovedjo IP. Privzeta vrednost je nastavljena na pet, kar bi moralo biti v redu za večino uporabnikov.
maxretry = 5 E-poštna obvestila #
Fail2ban lahko pošlje e-poštna opozorila, ko je IP prepovedan. Če želite prejemati e-pošto, morate imeti na strežniku nameščen SMTP in spremeniti privzeto dejanje, ki IP prepove samo na % (action_mw) s, kot je prikazano spodaj:
dejanje =% (dejanje_mw) s % (action_mw) s prepove krši IP in pošlje e-pošto s prijavo whois. Če želite v e-poštno sporočilo vključiti ustrezne dnevnike, nastavite dejanje na % (action_mwl) s.
Spremenite lahko tudi e-poštni naslov za pošiljanje in prejemanje:
/ etc / fail2ban / zapor.lokalnodestemail = admin @ linuxize.com pošiljatelj = root @ linuxize.com Fail2ban Jails #
Fail2ban uporablja koncept zapora. Zapor opisuje storitev in vključuje filtre in dejanja. Štejejo se dnevniški vnosi, ki se ujemajo z vzorcem iskanja, in ko je izpolnjen vnaprej določen pogoj, se izvedejo ustrezna dejanja.
Fail2ban pošilja številne zapore za različne storitve. Ustvarite lahko tudi lastne konfiguracije zapora. Privzeto je omogočen samo zapor ssh.
Če želite omogočiti zapor, morate dodati omogočeno = res po naslovu zapora. Naslednji primer prikazuje, kako omogočiti zapor postfix:
[postfix] omogočen = true port = smtp, ssmtp filter = postfix logpath = / var / log / mail.log Nastavitve, o katerih smo razpravljali v prejšnjem poglavju, lahko nastavimo na zapor. Tu je primer:
/ etc / fail2ban / zapor.lokalno[sshd] omogočeno = true maxretry = 3 findtime = 1d bantime = 4w ignoreip = 127.0.0.1/8 11.22.33.44 Filtri se nahajajo v / etc / fail2ban / filter.d imenik, shranjen v datoteki z istim imenom kot zapor. Če imate nastavitve po meri in imate izkušnje z regularnimi izrazi, lahko natančno nastavite filtre.
Vsako spremembo konfiguracijske datoteke je treba znova zagnati storitev Fail2ban, da spremembe začnejo veljati:
sudo systemctl znova zaženiŠtevilka odjemalca Fail2ban
Fail2ban je poslan z orodjem ukazne vrstice z imenom fail2ban-client ki jo lahko uporabite za interakcijo s storitvijo Fail2ban.
Če si želite ogledati vse razpoložljive možnosti, pokličite ukaz s tipko -h možnost:
fail2ban-client -hTo orodje lahko uporabite za prepoved / prepoved prepovedi naslovov IP, spreminjanje nastavitev, ponovni zagon storitve in še več. Tu je nekaj primerov:
Pridobite trenutno stanje strežnika:
sudo fail2ban-status odjemalcaPreverite stanje zapora:
sudo fail2ban-client status sshdPrekliči prepoved IP:
sudo fail2ban-client set sshd unbanip 11.22.33.44Prepovejte IP:
sudo fail2ban-client set sshd banip 11.22.33.44
Zaključek #
Pokazali smo vam, kako namestiti in konfigurirati Fail2ban v Debianu 10.
Za več informacij o tej temi obiščite dokumentacijo Fail2ban .
Če imate vprašanja, pustite komentar spodaj.
