Sådan konfigureres Fail2ban på Debian 9

Fail2ban, som navnet antyder, er et værktøj designet til at hjælpe med at beskytte Linux-maskiner mod brute-force-angreb på udvalgte åbne porte, især SSH-porten. Af hensyn til systemfunktionalitet og administration kan disse porte ikke lukkes ved hjælp af en firewall. Under disse omstændigheder er det en god idé at bruge Fail2ban som en supplerende sikkerhedsforanstaltning til en firewall for at begrænse brute-force angrebstrafik på disse porte.

I denne artikel vil jeg vise dig, hvordan du installerer og konfigurerer Fail2ban for at beskytte SSH-porten, det mest almindelige angrebsmål, på en Vultr Debian 9-serverinstans.

Forudsætninger

• En ny Debian 9 (Stretch) x64-serverinstans.
• Logget ind som root.
• Alle ubrugte porte er blevet blokeret med korrekte IPTables-regler.

Trin 1: Opdater systemet

apt update && apt upgrade -y
shutdown -r now

Når systemet er startet op, skal du logge ind igen som root.

Trin 2: Rediger SSH-porten (valgfrit)

Da standard SSH-portnummeret 22er for populært til at ignorere, 38752ville det være en smart beslutning at ændre det til et mindre kendt portnummer .

sed -i "s/#Port 22/Port 38752/g" /etc/ssh/sshd_config
systemctl restart sshd.service

Efter ændringen skal du opdatere IPTables-reglerne i overensstemmelse hermed:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 38752 -j ACCEPT

Gem de opdaterede IPTables-regler i en fil til vedvarende formål:

iptables-save > /etc/iptables.up.rules
touch /etc/network/if-pre-up.d/iptables
chmod +x /etc/network/if-pre-up.d/iptables
echo '#!/bin/sh' >> /etc/network/if-pre-up.d/iptables
echo '/sbin/iptables-restore < /etc/iptables.up.rules' >> /etc/network/if-pre-up.d/iptables

På denne måde vil IPTables-reglerne være vedvarende, selv efter en systemgenstart. Fra nu af skal du logge ind fra 38752porten.

Trin 3: Installer og konfigurer fail2ban for at beskytte SSH

Brug apttil at installere den stabile version af Fail2ban, som i øjeblikket er 0.9.x:

apt install fail2ban -y

Efter installationen starter Fail2ban-tjenesten automatisk. Du kan bruge følgende kommando til at vise dens status:

service fail2ban status

På Debian vil standardindstillingerne for Fail2ban-filteret blive gemt i både /etc/fail2ban/jail.conffilen og /etc/fail2ban/jail.d/defaults-debian.conffilen. Husk, at indstillinger i den sidstnævnte fil vil tilsidesætte tilsvarende indstillinger i den tidligere.

Brug følgende kommandoer for at se flere detaljer:

cat /etc/fail2ban/jail.conf | less
cat /etc/fail2ban/jail.d/defaults-debian.conf
fail2ban-client status
fail2ban-client status sshd

Til din information er kodeuddrag om SSH angivet nedenfor:

I /etc/fail2ban/jail.conf:

[DEFAULT]

bantime = 600
...
maxentry = 5

[sshd]

port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

I /etc/fail2ban/jail.d/defaults-debian.conf:

[sshd]
enabled = true

Da indholdet i de to konfigurationsfiler ovenfor kan ændre sig i fremtidige systemopdateringer, bør du oprette en lokal konfigurationsfil til at gemme dine egne fail2ban-filterregler. Igen vil indstillingerne i denne fil tilsidesætte de tilsvarende indstillinger i de to ovennævnte filer.

vi /etc/fail2ban/jail.d/jail-debian.local

Indtast følgende linjer:

[sshd]
port = 38752
maxentry = 3

Bemærk: Sørg for at bruge din egen SSH-port. Med undtagelse af portog maxentrynævnt ovenfor vil alle andre indstillinger bruge standardværdierne.

Gem og luk:

:wq

Genstart Fail2ban-tjenesten for at indlæse den nye konfiguration:

service fail2ban restart

Vores opsætning er færdig. Fra nu af, hvis en maskine sender forkerte SSH-legitimationsoplysninger til Debian-serverens brugerdefinerede SSH-port ( 38752) mere end tre gange, vil IP-adressen på denne potentielt ondsindede maskine blive forbudt i 600 sekunder.