Fail2Banin määrittäminen CentOS: ssä

Fail2Banin esittely

Oletusarvoisesti asiakas muodostaa yhteyden SSH:hon portin 22 kautta. Koska tämä portti on hyvin tunnettu, oletuskokoonpano on alttiina monille raa'an voiman hyökkäyksille. Fail2Ban on ratkaisu, joka suojaa palvelinta automaattisesti näiltä hyökkäyksiltä. Ohjelma toimii taustalla, skannaa lokitiedostot tunnistaakseen, mitkä IP-osoitteet hyökkäävät, ja estää automaattisesti niitä käyttämästä SSH:ta.

Fail2Banin asentaminen

Tässä opetusohjelmassa asennamme Fail2Banin CentOS 6:lle EPEL-arkiston kautta. Suorita seuraavat komennot.

yum install epel-release
yum install fail2ban

Selitys

• yum install epel-release: Asentaa EPEL-arkiston (Extra Packages for Enterprise Linux).
• yum install fail2ban: Asentaa Fail2Banin EPEL-arkistosta.

Fail2Ban-asetusten määrittäminen

Avaa Fail2Ban-määritystiedosto.

nano /etc/fail2ban/jail.conf

Tiedostossa näet joitain parametreja, kuten alla on esitetty. Säädä mitä tahansa arvoja tarpeidesi mukaan.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
ignoreip = 127.0.0.1

# "bantime" is the number of seconds that a host is banned.
bantime = 600

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime = 600

# "maxretry" is the number of failures before a host get banned.
maxretry = 3

Selitys

• ignoreip: Älä kiellä isäntiä, jotka vastaavat tässä luettelossa olevaa osoitetta. Välilyönnillä voidaan määrittää useita osoitteita. Kirjoita henkilökohtainen IP-osoitteesi tälle riville.
• bantime: Sekuntien määrä, jonka isäntä on estetty.
• findtime: Isäntä on kielletty, jos se on luonut maxretryviimeisen findtime.
• maxretry: Virheiden lukumäärä ennen kuin isäntä kielletään.

Fail2Banin määrittäminen suojaamaan SSH:ta

Ensin meidän on luotava määritystiedosto.

nano /etc/fail2ban/jail.local

Kopioi alla olevat rivit ja liitä ne tiedostoon.

[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
#           sendmail-whois[name=SSH, dest=root, sender=fail2ban@example.com]
logpath  = /var/log/secure
maxretry = 5

• enabled: Aktivoi suojaus. Jos haluat poistaa sen käytöstä, muuta arvoksi false.
• filter: Oletuksena se on sshd, joka viittaa tiedostoon /etc/fail2ban/filter.d/sshd.conf.
• action: Fail2Ban estää suodatinta vastaavan IP-osoitteen /etc/fail2ban/action.d/iptables.conf. Jos olet vaihtanut SSH-porttia aiemmin, vaihda port=sshuuteen porttiin, esimerkiksi port=2222. Jos käytät porttia 22, sinun ei tarvitse muuttaa arvoa.
• logpath: Fail2Banin käyttämän lokitiedoston polku.
• maxretry: epäonnistuneiden kirjautumisyritysten enimmäismäärä.

Fail2Ban-palvelun käynnistäminen

Käynnistä Fail2Ban-palvelu suorittamalla nämä kaksi komentoa:

chkconfig --level 23 fail2ban on
service fail2ban start

Tarkista lopuksi, iptablesonko siinä Fail2Banin lisäämiä sääntöjä.

iptables -L

Tulos näyttää samanlaiselta kuin tämä tulos.

Chain INPUT (policy ACCEPT)
target prot opt source destination
f2b-SSH tcp -- anywhere anywhere tcp dpt:EtherNet/IP-1

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain f2b-SSH (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Kuinka seurata epäonnistuneita kirjautumisyrityksiä

Tällä komennolla voit tarkistaa, onko palvelimellasi epäonnistuneita kirjautumisyrityksiä (mahdollisia hyökkäyksiä).

cat /var/log/secure | grep 'Failed password'

Tulos näyttää samanlaiselta kuin nämä rivit.

Dec  6 22:47:12 vultr sshd[7942]: Failed password for root from 43.229.53.67 port 23021 ssh2
Dec  6 22:47:15 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:16 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:18 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:31 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:34 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:36 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:39 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:41 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:43 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:47 vultr sshd[7952]: Failed password for root from 43.229.53.67 port 62846 ssh2
Dec  6 22:47:49 vultr sshd[7952]: Failed password for root from 43.229.53.67 port 62846 ssh2

Voit tarkastella kiellettyjä IP-osoitteita käyttämällä seuraavaa komentoa.

iptables -L -n

Jos haluat poistaa IP-osoitteen kiellettyjen luettelosta, suorita seuraava komento. Vaihda banned_ipIP-osoitteeseen, jonka eston haluat poistaa.

iptables -D f2b-SSH -s banned_ip -j DROP