Kaip nustatyti „Fail2ban“ „Debian 9“.

„Fail2ban“, kaip rodo jo pavadinimas, yra programa, skirta apsaugoti „Linux“ mašinas nuo žiaurios jėgos atakų prieš pasirinktus atvirus prievadus, ypač SSH prievadą. Sistemos funkcionalumo ir valdymo sumetimais šių prievadų negalima uždaryti naudojant ugniasienę. Esant tokioms aplinkybėms, gera idėja naudoti Fail2ban kaip papildomą užkardos apsaugos priemonę, siekiant apriboti žiaurios jėgos atakų srautą šiuose prievaduose.

Šiame straipsnyje parodysiu, kaip įdiegti ir sukonfigūruoti „Fail2ban“, kad apsaugotų SSH prievadą, dažniausiai pasitaikantį atakos tikslą, „Vultr Debian 9“ serverio egzemplioriuje.

Būtinos sąlygos

• Naujas Debian 9 (Stretch) x64 serverio egzempliorius.
• Prisijungęs kaip root.
• Visi nenaudojami prievadai buvo užblokuoti pagal tinkamas IPTables taisykles.

1 veiksmas: atnaujinkite sistemą

apt update && apt upgrade -y
shutdown -r now

Kai sistema paleidžiama, vėl prisijunkite kaip root.

2 veiksmas: pakeiskite SSH prievadą (neprivaloma)

Kadangi numatytasis SSH prievado numeris 22yra per populiarus, kad jį būtų galima ignoruoti, pakeisti jį į mažiau žinomą prievado numerį, tarkime, 38752būtų protingas sprendimas.

sed -i "s/#Port 22/Port 38752/g" /etc/ssh/sshd_config
systemctl restart sshd.service

Po pakeitimo turite atitinkamai atnaujinti IPTables taisykles:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 38752 -j ACCEPT

Išsaugokite atnaujintas IPTables taisykles į failą, kad būtų išlaikytas:

iptables-save > /etc/iptables.up.rules
touch /etc/network/if-pre-up.d/iptables
chmod +x /etc/network/if-pre-up.d/iptables
echo '#!/bin/sh' >> /etc/network/if-pre-up.d/iptables
echo '/sbin/iptables-restore < /etc/iptables.up.rules' >> /etc/network/if-pre-up.d/iptables

Tokiu būdu IPTables taisyklės išliks net ir po sistemos perkrovimo. Nuo šiol jums reikės prisijungti iš 38752uosto.

3 veiksmas: įdiekite ir sukonfigūruokite fail2ban, kad apsaugotumėte SSH

Naudokite aptnorėdami įdiegti stabilią Fail2ban versiją, kuri šiuo metu yra 0.9.x:

apt install fail2ban -y

Po įdiegimo Fail2ban paslauga bus paleista automatiškai. Norėdami parodyti jos būseną, galite naudoti šią komandą:

service fail2ban status

Debian'e numatytieji Fail2ban filtro nustatymai bus saugomi ir /etc/fail2ban/jail.conffaile, ir /etc/fail2ban/jail.d/defaults-debian.conffaile. Atminkite, kad pastarojo failo nustatymai pakeis atitinkamus ankstesnio failo nustatymus.

Norėdami pamatyti daugiau informacijos, naudokite šias komandas:

cat /etc/fail2ban/jail.conf | less
cat /etc/fail2ban/jail.d/defaults-debian.conf
fail2ban-client status
fail2ban-client status sshd

Jūsų informacijai toliau pateikiamos kodo ištraukos apie SSH:

į /etc/fail2ban/jail.conf:

[DEFAULT]

bantime = 600
...
maxentry = 5

[sshd]

port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

į /etc/fail2ban/jail.d/defaults-debian.conf:

[sshd]
enabled = true

Kadangi dviejų anksčiau pateiktų konfigūracijos failų turinys gali pasikeisti atnaujinant sistemą, turėtumėte sukurti vietinį konfigūracijos failą, kuriame būtų saugomos jūsų fail2ban filtro taisyklės. Vėlgi, šio failo nustatymai nepaisys atitinkamų dviejų pirmiau minėtų failų parametrų.

vi /etc/fail2ban/jail.d/jail-debian.local

Įveskite šias eilutes:

[sshd]
port = 38752
maxentry = 3

Pastaba: būtinai naudokite savo SSH prievadą. Išskyrus portir maxentryminėta, visi kiti nustatymai bus naudoti numatytąsias vertes.

Išsaugoti ir išeiti:

:wq

Iš naujo paleiskite Fail2ban paslaugą, kad įkeltumėte naują konfigūraciją:

service fail2ban restart

Mūsų sąranka baigta. Nuo šiol, jei kuris nors kompiuteris siųs neteisingus SSH kredencialus į Debian serverio pasirinktinį SSH prievadą ( 38752) daugiau nei tris kartus, šios galimai kenkėjiškos mašinos IP bus uždraustas 600 sekundžių.