Hvernig á að setja upp Fail2Ban á CentOS

Kynning á Fail2Ban

Sjálfgefið er að viðskiptavinur tengist SSH með því að nota höfn 22. Þar sem þetta er vel þekkt höfn er sjálfgefna stillingin viðkvæm fyrir mörgum brute force árásum. Fail2Ban er lausn til að vernda netþjón sjálfkrafa fyrir þessum árásum. Forritið keyrir í bakgrunni, skannar annálaskrárnar til að greina hvaða IP-tölur ráðast á og bannar þeim sjálfkrafa aðgang að SSH.

Setur upp Fail2Ban

Í þessari kennslu munum við setja upp Fail2Ban á CentOS 6 í gegnum EPEL geymsluna. Keyrðu eftirfarandi skipanir.

yum install epel-release
yum install fail2ban

Skýring

• yum install epel-release: Setur upp EPEL geymsluna (aukapakkar fyrir Enterprise Linux).
• yum install fail2ban: Setur upp Fail2Ban úr EPEL geymslunni.

Stillir Fail2Ban stillingar

Opnaðu Fail2Ban stillingarskrána.

nano /etc/fail2ban/jail.conf

Í skránni muntu sjá nokkrar breytur eins og sýnt er hér að neðan. Stilltu hvaða gildi sem er að þínum þörfum.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
ignoreip = 127.0.0.1

# "bantime" is the number of seconds that a host is banned.
bantime = 600

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime = 600

# "maxretry" is the number of failures before a host get banned.
maxretry = 3

Skýring

• ignoreip: Ekki banna gestgjafa sem passa við heimilisfang á þessum lista. Hægt er að skilgreina nokkur heimilisföng með því að nota bilskilju. Skrifaðu þína persónulegu IP á þessa línu.
• bantime: Fjöldi sekúndna sem gestgjafi er bannaður.
• findtime: Gestgjafi er bannaður ef hann hefur búið til maxretryá síðasta ári findtime.
• maxretry: Fjöldi bilana áður en gestgjafi verður bannaður.

Stillir Fail2Ban til að vernda SSH

Fyrst þurfum við að búa til stillingarskrá.

nano /etc/fail2ban/jail.local

Afritaðu línurnar fyrir neðan og límdu í skrána.

[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
#           sendmail-whois[name=SSH, dest=root, sender=fail2ban@example.com]
logpath  = /var/log/secure
maxretry = 5

• enabled: Virkjaðu vörnina. Ef þú vilt slökkva á því skaltu breyta gildinu í false.
• filter: Sjálfgefið er það stillt á sshd sem vísar til skráarinnar /etc/fail2ban/filter.d/sshd.conf.
• action: Fail2Ban mun banna IP sem passar við síuna /etc/fail2ban/action.d/iptables.conf. Ef þú hafðir breytt SSH-gáttinni áður skaltu breyta port=sshí nýju höfnina, til dæmis port=2222. Ef þú ert að nota port 22 þarftu ekki að breyta gildinu.
• logpath: Slóð notendaskrárinnar sem Fail2Ban notar.
• maxretry: Hámarksfjöldi misheppnaðra innskráningartilrauna.

Að gangsetja Fail2Ban þjónustu

Keyrðu þessar tvær skipanir hér að neðan til að hefja Fail2Ban þjónustuna:

chkconfig --level 23 fail2ban on
service fail2ban start

Að lokum, athugaðu iptableshvort það hafi reglurnar sem Fail2Ban bætti við.

iptables -L

Niðurstaðan mun líta svipað út og þessi framleiðsla.

Chain INPUT (policy ACCEPT)
target prot opt source destination
f2b-SSH tcp -- anywhere anywhere tcp dpt:EtherNet/IP-1

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain f2b-SSH (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Hvernig á að fylgjast með misheppnuðum innskráningartilraunum

Þú getur notað þessa skipun til að athuga hvort þjónninn þinn hafi fengið misheppnaðar innskráningartilraunir (hugsanlegar árásir).

cat /var/log/secure | grep 'Failed password'

Útkoman mun líta svipað út og þessar línur.

Dec  6 22:47:12 vultr sshd[7942]: Failed password for root from 43.229.53.67 port 23021 ssh2
Dec  6 22:47:15 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:16 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:18 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:31 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:34 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:36 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:39 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:41 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:43 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:47 vultr sshd[7952]: Failed password for root from 43.229.53.67 port 62846 ssh2
Dec  6 22:47:49 vultr sshd[7952]: Failed password for root from 43.229.53.67 port 62846 ssh2

Til að sjá hvaða IP-tölur hafa verið bannaðar skaltu nota eftirfarandi skipun.

iptables -L -n

Til að eyða IP tölu af bannlista skaltu keyra eftirfarandi skipun. Breyttu banned_ipí IP sem þú vilt afbanna.

iptables -D f2b-SSH -s banned_ip -j DROP