Как да настроите Fail2ban на Debian 9

Fail2ban, както подсказва името му, е помощна програма, предназначена да помогне за защитата на Linux машини от атаки с груба сила върху избрани отворени портове, особено SSH порта. В името на функционалността и управлението на системата тези портове не могат да бъдат затворени с помощта на защитна стена. При това обстоятелство е добра идея да използвате Fail2ban като допълнителна мярка за сигурност към защитна стена, за да ограничите трафика на атака с груба сила към тези портове.

В тази статия ще ви покажа как да инсталирате и конфигурирате Fail2ban за защита на SSH порта, най-често срещаната цел за атака, на сървърен екземпляр на Vultr Debian 9.

Предпоставки

• Нов екземпляр на сървъра на Debian 9 (Stretch) x64.
• Влезли сте като root.
• Всички неизползвани портове са блокирани с правилни IPTables правила.

Стъпка 1: Актуализирайте системата

apt update && apt upgrade -y
shutdown -r now

След като системата се стартира, влезте отново като root.

Стъпка 2: Променете SSH порта (По избор)

Тъй като номерът на SSH порта по подразбиране 22е твърде популярен, за да се игнорира, промяната му на по-малко известен номер на порт, да речем, 38752би било умно решение.

sed -i "s/#Port 22/Port 38752/g" /etc/ssh/sshd_config
systemctl restart sshd.service

След модификацията трябва да актуализирате правилата на IPTables съответно:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 38752 -j ACCEPT

Запазете актуализираните правила на IPTables във файл за целите на постоянството:

iptables-save > /etc/iptables.up.rules
touch /etc/network/if-pre-up.d/iptables
chmod +x /etc/network/if-pre-up.d/iptables
echo '#!/bin/sh' >> /etc/network/if-pre-up.d/iptables
echo '/sbin/iptables-restore < /etc/iptables.up.rules' >> /etc/network/if-pre-up.d/iptables

По този начин правилата на IPTables ще бъдат постоянни дори след рестартиране на системата. Оттук нататък ще трябва да влезете от 38752порта.

Стъпка 3: Инсталирайте и конфигурирайте fail2ban за защита на SSH

Използвайте, за aptда инсталирате стабилната версия на Fail2ban, която в момента е 0.9.x:

apt install fail2ban -y

След инсталацията услугата Fail2ban ще стартира автоматично. Можете да използвате следната команда, за да покажете състоянието му:

service fail2ban status

В Debian настройките по подразбиране на филтъра за Fail2ban ще се съхраняват както във /etc/fail2ban/jail.confфайла, така и във /etc/fail2ban/jail.d/defaults-debian.confфайла. Не забравяйте, че настройките в последния файл ще заменят съответните настройки в първия.

Използвайте следните команди, за да видите повече подробности:

cat /etc/fail2ban/jail.conf | less
cat /etc/fail2ban/jail.d/defaults-debian.conf
fail2ban-client status
fail2ban-client status sshd

За ваша информация, откъсите от кода за SSH са изброени по-долу:

в /etc/fail2ban/jail.conf:

[DEFAULT]

bantime = 600
...
maxentry = 5

[sshd]

port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

в /etc/fail2ban/jail.d/defaults-debian.conf:

[sshd]
enabled = true

Тъй като съдържанието в двата конфигурационни файла по-горе може да се промени в бъдещи системни актуализации, трябва да създадете локален конфигурационен файл, за да съхранявате вашите собствени правила за филтриране на fail2ban. Отново, настройките в този файл ще заменят съответните настройки в двата файла, споменати по-горе.

vi /etc/fail2ban/jail.d/jail-debian.local

Въведете следните редове:

[sshd]
port = 38752
maxentry = 3

Забележка: Не забравяйте да използвате свой собствен SSH порт. С изключение на portи maxentryспоменати по-горе, всички други настройки ще използват стойностите по подразбиране.

Запазете и излезте:

:wq

Рестартирайте услугата Fail2ban, за да заредите новата конфигурация:

service fail2ban restart

Нашата настройка е завършена. Оттук нататък, ако някоя машина изпрати неправилни SSH идентификационни данни до персонализирания SSH порт на Debian сървъра ( 38752) повече от три пъти, IP адресът на тази потенциално злонамерена машина ще бъде забранен за 600 секунди.