Как да настроите Fail2Ban на CentOS

Въведение в Fail2Ban

По подразбиране клиентът се свързва към SSH, използвайки порт 22. Тъй като това е добре познат порт, конфигурацията по подразбиране е уязвима за много атаки с груба сила. Fail2Ban е решение за автоматично защита на сървър от тези атаки. Програмата работи във фонов режим, сканира регистрационните файлове, за да открие кои IP адреси атакуват и автоматично им забранява достъп до SSH.

Инсталиране на Fail2Ban

В този урок ще инсталираме Fail2Ban на CentOS 6 чрез хранилището на EPEL. Изпълнете следните команди.

yum install epel-release
yum install fail2ban

Обяснение

• yum install epel-release: Инсталира EPEL хранилището (допълнителни пакети за Enterprise Linux).
• yum install fail2ban: Инсталира Fail2Ban от EPEL хранилището.

Конфигуриране на настройките на Fail2Ban

Отворете конфигурационния файл Fail2Ban.

nano /etc/fail2ban/jail.conf

Във файла ще видите някои параметри, както е показано по-долу. Коригирайте някоя от стойностите според вашите нужди.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
ignoreip = 127.0.0.1

# "bantime" is the number of seconds that a host is banned.
bantime = 600

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime = 600

# "maxretry" is the number of failures before a host get banned.
maxretry = 3

Обяснение

• ignoreip: Не забранявайте хостове, които съвпадат с адрес в този списък. Няколко адреса могат да бъдат дефинирани с помощта на разделител на интервали. Напишете своя личен IP на този ред.
• bantime: Броят секунди, през които даден хост е забранен.
• findtime: Хост е забранен, ако е генерирал maxretryпо време на последния findtime.
• maxretry: Броят на грешките преди хост да бъде забранен.

Конфигуриране на Fail2Ban за защита на SSH

Първо, трябва да създадем конфигурационен файл.

nano /etc/fail2ban/jail.local

Копирайте редовете по-долу и ги поставете във файла.

[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
#           sendmail-whois[name=SSH, dest=root, sender=fail2ban@example.com]
logpath  = /var/log/secure
maxretry = 5

• enabled: Активирайте защитата. Ако искате да го изключите, променете стойността на false.
• filter: По подразбиране е настроен на sshd, което се отнася до файла /etc/fail2ban/filter.d/sshd.conf.
• action: Fail2Ban ще забрани IP адреса , който съответства на филтъра /etc/fail2ban/action.d/iptables.conf. Ако сте променили SSH порта преди, променете port=sshкъм новия порт, например port=2222. Ако използвате порт 22, няма да е необходимо да променяте стойността.
• logpath: Пътят на регистрационния файл, използван от Fail2Ban.
• maxretry: Максималният брой неуспешни опити за влизане.

Стартиране на услугата Fail2Ban

Изпълнете тези две команди по-долу, за да стартирате услугата Fail2Ban:

chkconfig --level 23 fail2ban on
service fail2ban start

Накрая проверете iptablesдали има правилата, добавени от Fail2Ban.

iptables -L

Резултатът ще изглежда подобен на този изход.

Chain INPUT (policy ACCEPT)
target prot opt source destination
f2b-SSH tcp -- anywhere anywhere tcp dpt:EtherNet/IP-1

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain f2b-SSH (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Как да проследите неуспешни опити за влизане

Можете да използвате тази команда, за да проверите дали вашият сървър е имал неуспешни опити за влизане (възможни атаки).

cat /var/log/secure | grep 'Failed password'

Резултатът ще изглежда подобен на тези редове.

Dec  6 22:47:12 vultr sshd[7942]: Failed password for root from 43.229.53.67 port 23021 ssh2
Dec  6 22:47:15 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:16 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:18 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:31 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:34 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:36 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:39 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:41 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:43 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:47 vultr sshd[7952]: Failed password for root from 43.229.53.67 port 62846 ssh2
Dec  6 22:47:49 vultr sshd[7952]: Failed password for root from 43.229.53.67 port 62846 ssh2

За да видите кои IP адреси са били забранени, използвайте следната команда.

iptables -L -n

За да изтриете IP адрес от списъка с забранени, изпълнете следната команда. Променете banned_ipна IP, който искате да дебанирате.

iptables -D f2b-SSH -s banned_ip -j DROP