Kā iestatīt Fail2ban operētājsistēmā Debian 9

Fail2ban, kā norāda tās nosaukums, ir utilīta, kas izstrādāta, lai palīdzētu aizsargāt Linux iekārtas no brutāla spēka uzbrukumiem atsevišķiem atvērtiem portiem, īpaši SSH portam. Sistēmas funkcionalitātes un pārvaldības labad šos portus nevar aizvērt, izmantojot ugunsmūri. Šādos apstākļos ir ieteicams izmantot Fail2ban kā papildu drošības līdzekli ugunsmūrim, lai ierobežotu brutālu spēku uzbrukumu trafiku šajās ostās.

Šajā rakstā es jums parādīšu, kā instalēt un konfigurēt Fail2ban, lai aizsargātu SSH portu, kas ir visizplatītākais uzbrukuma mērķis Vultr Debian 9 servera instancē.

Priekšnoteikumi

• Jauns Debian 9 (Stretch) x64 servera gadījums.
• Pieteicies kā root.
• Visi neizmantotie porti ir bloķēti ar atbilstošiem IPTables noteikumiem.

1. darbība: atjauniniet sistēmu

apt update && apt upgrade -y
shutdown -r now

Pēc sistēmas sāknēšanas piesakieties atpakaļ kā root.

2. darbība: mainiet SSH portu (pēc izvēles)

Tā kā noklusējuma SSH porta numurs 22ir pārāk populārs, lai to ignorētu, teiksim, 38752tas būtu saprātīgs lēmums mainīt to uz mazāk zināmu porta numuru .

sed -i "s/#Port 22/Port 38752/g" /etc/ssh/sshd_config
systemctl restart sshd.service

Pēc modifikācijas jums ir attiecīgi jāatjaunina IPTables noteikumi:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 38752 -j ACCEPT

Saglabājiet atjauninātos IPTables noteikumus failā noturības nolūkos:

iptables-save > /etc/iptables.up.rules
touch /etc/network/if-pre-up.d/iptables
chmod +x /etc/network/if-pre-up.d/iptables
echo '#!/bin/sh' >> /etc/network/if-pre-up.d/iptables
echo '/sbin/iptables-restore < /etc/iptables.up.rules' >> /etc/network/if-pre-up.d/iptables

Šādā veidā IPTables noteikumi būs noturīgi pat pēc sistēmas atsāknēšanas. Turpmāk jums būs jāpiesakās no 38752ostas.

3. darbība. Instalējiet un konfigurējiet fail2ban, lai aizsargātu SSH

Izmantojiet, aptlai instalētu stabilo Fail2ban versiju, kas pašlaik ir 0.9.x:

apt install fail2ban -y

Pēc instalēšanas pakalpojums Fail2ban tiks palaists automātiski. Varat izmantot šo komandu, lai parādītu tās statusu:

service fail2ban status

Programmā Debian noklusējuma Fail2ban filtra iestatījumi tiks saglabāti gan /etc/fail2ban/jail.conffailā, gan /etc/fail2ban/jail.d/defaults-debian.conffailā. Atcerieties, ka pēdējā faila iestatījumi ignorēs atbilstošos iepriekšējā faila iestatījumus.

Lai skatītu sīkāku informāciju, izmantojiet šādas komandas:

cat /etc/fail2ban/jail.conf | less
cat /etc/fail2ban/jail.d/defaults-debian.conf
fail2ban-client status
fail2ban-client status sshd

Jūsu informācijai tālāk ir norādīti koda fragmenti par SSH:

Vietnē /etc/fail2ban/jail.conf:

[DEFAULT]

bantime = 600
...
maxentry = 5

[sshd]

port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

Vietnē /etc/fail2ban/jail.d/defaults-debian.conf:

[sshd]
enabled = true

Tā kā divu iepriekš minēto konfigurācijas failu saturs var mainīties turpmākajos sistēmas atjauninājumos, jums ir jāizveido lokāls konfigurācijas fails, lai saglabātu savus fail2ban filtra noteikumus. Atkal, šī faila iestatījumi ignorēs atbilstošos iestatījumus divos iepriekšminētajos failos.

vi /etc/fail2ban/jail.d/jail-debian.local

Ievadiet šādas rindas:

[sshd]
port = 38752
maxentry = 3

Piezīme. Noteikti izmantojiet savu SSH portu. Izņemot portun maxentryminēts iepriekš, visi pārējie iestatījumi izmanto noklusējuma vērtības.

Saglabāt un iziet:

:wq

Restartējiet pakalpojumu Fail2ban, lai ielādētu jauno konfigurāciju:

service fail2ban restart

Mūsu iestatīšana ir pabeigta. Turpmāk, ja kāda iekārta nosūtīs nepareizus SSH akreditācijas datus uz Debian servera pielāgoto SSH portu ( 38752) vairāk nekā trīs reizes, šīs potenciāli ļaunprātīgās iekārtas IP tiks bloķēts uz 600 sekundēm.