Hvernig á að setja upp Fail2ban á Debian 9

Fail2ban, eins og nafnið gefur til kynna, er tól sem er hannað til að vernda Linux vélar fyrir árásum á völdum opnum höfnum, sérstaklega SSH tenginu. Vegna kerfisvirkni og stjórnun er ekki hægt að loka þessum gáttum með eldvegg. Undir þessum kringumstæðum er góð hugmynd að nota Fail2ban sem viðbótaröryggisráðstöfun við eldvegg til að takmarka árásarumferð á þessum höfnum.

Í þessari grein mun ég sýna þér hvernig á að setja upp og stilla Fail2ban til að vernda SSH tengið, algengasta árásarmarkmiðið, á Vultr Debian 9 netþjónstilviki.

Forkröfur

• Nýtt Debian 9 (Stretch) x64 netþjónstilvik.
• Skráður inn sem root.
• Öllum ónotuðum höfnum hefur verið lokað með réttum IPTables reglum.

Skref 1: Uppfærðu kerfið

apt update && apt upgrade -y
shutdown -r now

Eftir að kerfið er ræst skaltu skrá þig aftur inn sem root.

Skref 2: Breyttu SSH tenginu (valfrjálst)

Þar sem sjálfgefið SSH gáttarnúmer 22er of vinsælt til að hunsa það, þá 38752væri það snjöll ákvörðun að breyta því í minna þekkt gáttarnúmer .

sed -i "s/#Port 22/Port 38752/g" /etc/ssh/sshd_config
systemctl restart sshd.service

Eftir breytinguna þarftu að uppfæra IPTables reglur í samræmi við það:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 38752 -j ACCEPT

Vistaðu uppfærðu IPTables reglurnar í skrá til þrautseigju:

iptables-save > /etc/iptables.up.rules
touch /etc/network/if-pre-up.d/iptables
chmod +x /etc/network/if-pre-up.d/iptables
echo '#!/bin/sh' >> /etc/network/if-pre-up.d/iptables
echo '/sbin/iptables-restore < /etc/iptables.up.rules' >> /etc/network/if-pre-up.d/iptables

Á þennan hátt munu IPTables reglur vera viðvarandi jafnvel eftir endurræsingu kerfisins. Héðan í frá þarftu að skrá þig inn frá 38752höfninni.

Skref 3: Settu upp og stilltu fail2ban til að vernda SSH

Notaðu apttil að setja upp stöðugu útgáfuna af Fail2ban sem er eins og er 0.9.x:

apt install fail2ban -y

Eftir uppsetninguna mun Fail2ban þjónustan ræsast sjálfkrafa. Þú getur notað eftirfarandi skipun til að sýna stöðu þess:

service fail2ban status

Á Debian verða sjálfgefnar Fail2ban síunarstillingar geymdar bæði í /etc/fail2ban/jail.confskránni og /etc/fail2ban/jail.d/defaults-debian.confskránni. Mundu að stillingar í síðari skránni munu hnekkja samsvarandi stillingum í þeirri fyrri.

Notaðu eftirfarandi skipanir til að skoða frekari upplýsingar:

cat /etc/fail2ban/jail.conf | less
cat /etc/fail2ban/jail.d/defaults-debian.conf
fail2ban-client status
fail2ban-client status sshd

Fyrir upplýsingar þínar eru kóðaútdrættir um SSH taldir upp hér að neðan:

Í /etc/fail2ban/jail.conf:

[DEFAULT]

bantime = 600
...
maxentry = 5

[sshd]

port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

Í /etc/fail2ban/jail.d/defaults-debian.conf:

[sshd]
enabled = true

Þar sem innihaldið í stillingarskránum tveimur hér að ofan gæti breyst í framtíðarkerfisuppfærslum, ættir þú að búa til staðbundna stillingarskrá til að geyma eigin fail2ban síureglur. Aftur munu stillingarnar í þessari skrá hnekkja samsvarandi stillingum í tveimur skrám sem nefnd eru hér að ofan.

vi /etc/fail2ban/jail.d/jail-debian.local

Sláðu inn eftirfarandi línur:

[sshd]
port = 38752
maxentry = 3

Athugið: Vertu viss um að nota þitt eigið SSH tengi. Að undanskildum portog maxentrynefnt hér að ofan munu allar aðrar stillingar nota sjálfgefin gildi.

Vista og hætta:

:wq

Endurræstu Fail2ban þjónustuna til að hlaða nýju stillingunum:

service fail2ban restart

Uppsetningu okkar er lokið. Héðan í frá, ef einhver vél sendir röng SSH skilríki á sérsniðna SSH tengi Debian þjónsins ( 38752) oftar en þrisvar sinnum, verður IP þessarar hugsanlegu skaðlegu vél bönnuð í 600 sekúndur.