Jak nastavit Fail2ban na Debianu 9

Fail2ban, jak jeho název napovídá, je nástroj navržený tak, aby pomohl chránit linuxové stroje před útoky hrubou silou na vybrané otevřené porty, zejména port SSH. Z důvodu funkčnosti a správy systému nelze tyto porty zavřít pomocí firewallu. Za těchto okolností je dobré použít Fail2ban jako doplňkové bezpečnostní opatření k firewallu, aby se omezil provoz útoků hrubou silou na tyto porty.

V tomto článku vám ukážu, jak nainstalovat a nakonfigurovat Fail2ban k ochraně portu SSH, nejběžnějšího cíle útoku, na instanci serveru Vultr Debian 9.

Předpoklady

• Nová instance serveru Debian 9 (Stretch) x64.
• Přihlášen jako root.
• Všechny nepoužívané porty byly zablokovány správnými pravidly IPTables.

Krok 1: Aktualizujte systém

apt update && apt upgrade -y
shutdown -r now

Po spuštění systému se znovu přihlaste jako root.

Krok 2: Upravte port SSH (volitelné)

Vzhledem k tomu, že výchozí číslo portu SSH 22je příliš populární na to, aby se dalo ignorovat, změnit jej na méně známé číslo portu 38752by bylo chytré rozhodnutí.

sed -i "s/#Port 22/Port 38752/g" /etc/ssh/sshd_config
systemctl restart sshd.service

Po úpravě musíte odpovídajícím způsobem aktualizovat pravidla IPTables:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 38752 -j ACCEPT

Uložte aktualizovaná pravidla IPTables do souboru pro účely zachování:

iptables-save > /etc/iptables.up.rules
touch /etc/network/if-pre-up.d/iptables
chmod +x /etc/network/if-pre-up.d/iptables
echo '#!/bin/sh' >> /etc/network/if-pre-up.d/iptables
echo '/sbin/iptables-restore < /etc/iptables.up.rules' >> /etc/network/if-pre-up.d/iptables

Tímto způsobem budou pravidla IPTables trvalá i po restartu systému. Od této chvíle se budete muset přihlásit z 38752portu.

Krok 3: Nainstalujte a nakonfigurujte fail2ban pro ochranu SSH

Použijte aptk instalaci stabilní verze Fail2ban, která je aktuálně 0.9.x:

apt install fail2ban -y

Po instalaci se služba Fail2ban automaticky spustí. K zobrazení jeho stavu můžete použít následující příkaz:

service fail2ban status

V Debianu bude výchozí nastavení filtru Fail2ban uloženo jak v /etc/fail2ban/jail.confsouboru, tak v /etc/fail2ban/jail.d/defaults-debian.confsouboru. Pamatujte, že nastavení v druhém souboru přepíše odpovídající nastavení v prvním souboru.

Chcete-li zobrazit další podrobnosti, použijte následující příkazy:

cat /etc/fail2ban/jail.conf | less
cat /etc/fail2ban/jail.d/defaults-debian.conf
fail2ban-client status
fail2ban-client status sshd

Pro vaši informaci jsou níže uvedeny úryvky kódu o SSH:

v /etc/fail2ban/jail.conf:

[DEFAULT]

bantime = 600
...
maxentry = 5

[sshd]

port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

v /etc/fail2ban/jail.d/defaults-debian.conf:

[sshd]
enabled = true

Protože se obsah ve dvou výše uvedených konfiguračních souborech může v budoucích aktualizacích systému změnit, měli byste vytvořit místní konfigurační soubor pro uložení vlastních pravidel filtru fail2ban. Opět platí, že nastavení v tomto souboru přepíše odpovídající nastavení ve dvou výše uvedených souborech.

vi /etc/fail2ban/jail.d/jail-debian.local

Zadejte následující řádky:

[sshd]
port = 38752
maxentry = 3

Poznámka: Ujistěte se, že používáte svůj vlastní port SSH. S výjimkou porta maxentryje uvedeno výše, budou všechna ostatní nastavení použít výchozí hodnoty.

Uložit a ukončit:

:wq

Restartujte službu Fail2ban, abyste mohli načíst novou konfiguraci:

service fail2ban restart

Naše nastavení je dokončeno. Od této chvíle, pokud jakýkoli počítač odešle nesprávné přihlašovací údaje SSH na vlastní port SSH serveru Debian ( 38752) více než třikrát, IP tohoto potenciálně škodlivého počítače bude na 600 sekund zablokována.