Fail2banin asetukset Debian 9:ssä

Fail2ban, kuten sen nimestä voi päätellä, on apuohjelma, joka on suunniteltu suojaamaan Linux-koneita raakoja hyökkäyksiä vastaan ​​tiettyihin avoimiin portteihin, erityisesti SSH-porttiin. Järjestelmän toimivuuden ja hallinnan vuoksi näitä portteja ei voi sulkea palomuurilla. Tässä tilanteessa on hyvä idea käyttää Fail2bania palomuurin lisäturvatoimena rajoittamaan raa'an voiman hyökkäysliikennettä näihin portteihin.

Tässä artikkelissa näytän sinulle, kuinka Fail2ban asennetaan ja määritetään suojaamaan Vultr Debian 9 -palvelinesiintymän yleisin hyökkäyskohde SSH-portti.

Edellytykset

• Uusi Debian 9 (Stretch) x64 -palvelinesiintymä.
• Kirjautunut sisään nimellä root.
• Kaikki käyttämättömät portit on estetty oikeilla IPTables-säännöillä.

Vaihe 1: Päivitä järjestelmä

apt update && apt upgrade -y
shutdown -r now

Kun järjestelmä on käynnistynyt, kirjaudu takaisin sisään nimellä root.

Vaihe 2: Muokkaa SSH-porttia (valinnainen)

Koska oletusarvoinen SSH-porttinumero 22on liian suosittu ohitettavaksi, sen vaihtaminen vähemmän tunnetuksi porttinumeroksi 38752olisi esimerkiksi järkevä päätös.

sed -i "s/#Port 22/Port 38752/g" /etc/ssh/sshd_config
systemctl restart sshd.service

Muokkauksen jälkeen sinun on päivitettävä IPTables-säännöt vastaavasti:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 38752 -j ACCEPT

Tallenna päivitetyt IPTables-säännöt tiedostoon pysyvyyttä varten:

iptables-save > /etc/iptables.up.rules
touch /etc/network/if-pre-up.d/iptables
chmod +x /etc/network/if-pre-up.d/iptables
echo '#!/bin/sh' >> /etc/network/if-pre-up.d/iptables
echo '/sbin/iptables-restore < /etc/iptables.up.rules' >> /etc/network/if-pre-up.d/iptables

Tällä tavalla IPTables-säännöt ovat pysyviä jopa järjestelmän uudelleenkäynnistyksen jälkeen. Tästä eteenpäin sinun tulee kirjautua sisään 38752portista.

Vaihe 3: Asenna ja määritä fail2ban suojaamaan SSH:ta

Käytä aptFail2banin vakaan version asentamiseen, joka on tällä hetkellä 0.9.x:

apt install fail2ban -y

Asennuksen jälkeen Fail2ban-palvelu käynnistyy automaattisesti. Voit käyttää seuraavaa komentoa näyttääksesi sen tilan:

service fail2ban status

Debianissa Fail2ban-suodattimen oletusasetukset tallennetaan sekä /etc/fail2ban/jail.conftiedostoon että /etc/fail2ban/jail.d/defaults-debian.conftiedostoon. Muista, että jälkimmäisen tiedoston asetukset ohittavat edellisen vastaavat asetukset.

Käytä seuraavia komentoja nähdäksesi lisätietoja:

cat /etc/fail2ban/jail.conf | less
cat /etc/fail2ban/jail.d/defaults-debian.conf
fail2ban-client status
fail2ban-client status sshd

Alla on tiedoksi SSH-koodiotteita:

in /etc/fail2ban/jail.conf:

[DEFAULT]

bantime = 600
...
maxentry = 5

[sshd]

port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

in /etc/fail2ban/jail.d/defaults-debian.conf:

[sshd]
enabled = true

Koska kahden yllä olevan konfigurointitiedoston sisältö saattaa muuttua tulevissa järjestelmäpäivityksissä, sinun tulee luoda paikallinen konfiguraatiotiedosto tallentaaksesi omat fail2ban-suodatinsäännöt. Jälleen tämän tiedoston asetukset ohittavat vastaavat asetukset kahdessa yllä mainitussa tiedostossa.

vi /etc/fail2ban/jail.d/jail-debian.local

Syötä seuraavat rivit:

[sshd]
port = 38752
maxentry = 3

Huomautus: Muista käyttää omaa SSH-porttiasi. Edellä mainittuja portja maxentrymainittuja lukuun ottamatta kaikki muut asetukset käyttävät oletusarvoja.

Tallenna ja lopeta:

:wq

Käynnistä Fail2ban-palvelu uudelleen ladataksesi uuden kokoonpanon:

service fail2ban restart

Asetuksemme on valmis. Tästä eteenpäin, jos jokin kone lähettää vääriä SSH-tunnistetietoja Debian-palvelimen mukautettuun SSH-porttiin ( 38752) yli kolme kertaa, tämän mahdollisesti haitallisen koneen IP-osoite estetään 600 sekunniksi.