Kaip nustatyti „Fail2Ban“ „CentOS“.

Įvadas į Fail2Ban

Pagal numatytuosius nustatymus klientas jungiasi prie SSH naudodamas 22 prievadą. Kadangi tai gerai žinomas prievadas, numatytoji konfigūracija yra pažeidžiama daugelio žiaurios jėgos atakų. Fail2Ban yra sprendimas automatiškai apsaugoti serverį nuo šių atakų. Programa veikia fone, nuskaito žurnalo failus, kad nustatytų, kurie IP atakuoja, ir automatiškai uždraudžia jiems pasiekti SSH.

Fail2Ban įdiegimas

Šioje pamokoje mes įdiegsime „Fail2Ban“ „CentOS 6“ per EPEL saugyklą. Vykdykite šias komandas.

yum install epel-release
yum install fail2ban

Paaiškinimas

• yum install epel-release: diegia EPEL saugyklą (papildomus paketus, skirtus Enterprise Linux).
• yum install fail2ban: įdiegia Fail2Ban iš EPEL saugyklos.

Fail2Ban nustatymų konfigūravimas

Atidarykite Fail2Ban konfigūracijos failą.

nano /etc/fail2ban/jail.conf

Faile matysite kai kuriuos parametrus, kaip parodyta toliau. Pritaikykite bet kurią vertę pagal savo poreikius.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
ignoreip = 127.0.0.1

# "bantime" is the number of seconds that a host is banned.
bantime = 600

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime = 600

# "maxretry" is the number of failures before a host get banned.
maxretry = 3

Paaiškinimas

• ignoreip: Neuždrausti prieglobų, kurie atitinka šiame sąraše esantį adresą. Keletas adresų gali būti apibrėžti naudojant tarpo skyriklį. Šioje eilutėje parašykite savo asmeninį IP.
• bantime: sekundžių skaičius, per kurį priegloba uždrausta.
• findtime: Kompiuteris yra uždraustas, jei jis buvo sugeneruotas maxretryper paskutinį findtime.
• maxretry: gedimų skaičius prieš užblokuojant pagrindinį kompiuterį.

Fail2Ban konfigūravimas siekiant apsaugoti SSH

Pirmiausia turime sukurti konfigūracijos failą.

nano /etc/fail2ban/jail.local

Nukopijuokite žemiau esančias eilutes ir įklijuokite į failą.

[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
#           sendmail-whois[name=SSH, dest=root, sender=fail2ban@example.com]
logpath  = /var/log/secure
maxretry = 5

• enabled: įjungti apsaugą. Jei norite jį išjungti, pakeiskite reikšmę į false.
• filter: Pagal numatytuosius nustatymus jis nustatytas į sshd, kuris nurodo failą /etc/fail2ban/filter.d/sshd.conf.
• action: Fail2Ban uždraus filtrą atitinkantį IP adresą /etc/fail2ban/action.d/iptables.conf. Jei anksčiau pakeitėte SSH prievadą, pakeiskite port=sshį naują prievadą, pavyzdžiui, port=2222. Jei naudojate 22 prievadą, vertės keisti nereikės.
• logpath: Fail2Ban naudojamo žurnalo failo kelias.
• maxretry: didžiausias nesėkmingų bandymų prisijungti skaičius.

Fail2Ban paslaugos paleidimas

Vykdykite šias dvi komandas, kad paleistumėte Fail2Ban paslaugą:

chkconfig --level 23 fail2ban on
service fail2ban start

Galiausiai patikrinkite iptables, ar jame nėra Fail2Ban pridėtų taisyklių.

iptables -L

Rezultatas atrodys panašus į šį išvestį.

Chain INPUT (policy ACCEPT)
target prot opt source destination
f2b-SSH tcp -- anywhere anywhere tcp dpt:EtherNet/IP-1

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain f2b-SSH (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Kaip sekti nepavykusius prisijungimo bandymus

Galite naudoti šią komandą norėdami patikrinti, ar jūsų serveris nepavyko prisijungti (galimos atakos).

cat /var/log/secure | grep 'Failed password'

Rezultatas atrodys panašus į šias linijas.

Dec  6 22:47:12 vultr sshd[7942]: Failed password for root from 43.229.53.67 port 23021 ssh2
Dec  6 22:47:15 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:16 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:18 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:31 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:34 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:36 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:39 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:41 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:43 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:47 vultr sshd[7952]: Failed password for root from 43.229.53.67 port 62846 ssh2
Dec  6 22:47:49 vultr sshd[7952]: Failed password for root from 43.229.53.67 port 62846 ssh2

Norėdami pamatyti, kurie IP buvo uždrausti, naudokite šią komandą.

iptables -L -n

Norėdami ištrinti IP adresą iš uždraustųjų sąrašo, paleiskite šią komandą. Pakeiskite banned_ipį IP, kurio blokavimą norite atšaukti.

iptables -D f2b-SSH -s banned_ip -j DROP