Kā iestatīt Fail2Ban vietnē CentOS

Ievads Fail2Ban

Pēc noklusējuma klients izveido savienojumu ar SSH, izmantojot 22. portu. Tā kā šis ir labi zināms ports, noklusējuma konfigurācija ir neaizsargāta pret daudziem brutāla spēka uzbrukumiem. Fail2Ban ir risinājums, lai automātiski aizsargātu serveri no šiem uzbrukumiem. Programma darbojas fonā, skenē žurnālfailus, lai noteiktu, kuri IP uzbrūk, un automātiski aizliedz tiem piekļūt SSH.

Fail2Ban instalēšana

Šajā apmācībā mēs instalēsim Fail2Ban operētājsistēmā CentOS 6, izmantojot EPEL repozitoriju. Palaidiet šādas komandas.

yum install epel-release
yum install fail2ban

Paskaidrojums

• yum install epel-release: instalē EPEL repozitoriju (papildu pakotnes Enterprise Linux).
• yum install fail2ban: instalē Fail2Ban no EPEL repozitorija.

Fail2Ban iestatījumu konfigurēšana

Atveriet Fail2Ban konfigurācijas failu.

nano /etc/fail2ban/jail.conf

Failā jūs redzēsit dažus parametrus, kā parādīts zemāk. Pielāgojiet jebkuru vērtību savām vajadzībām.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
ignoreip = 127.0.0.1

# "bantime" is the number of seconds that a host is banned.
bantime = 600

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime = 600

# "maxretry" is the number of failures before a host get banned.
maxretry = 3

Paskaidrojums

• ignoreip: Neaizliegt saimniekdatorus, kas atbilst adresei šajā sarakstā. Izmantojot atstarpes atdalītāju, var definēt vairākas adreses. Šajā rindā ierakstiet savu personīgo IP.
• bantime: sekunžu skaits, cik ilgi saimniekdators ir aizliegts.
• findtime: resursdators ir aizliegts, ja tas ir ģenerēts maxretrypēdējā laikā findtime.
• maxretry: kļūmju skaits, pirms resursdators tiek bloķēts.

Fail2Ban konfigurēšana, lai aizsargātu SSH

Pirmkārt, mums ir jāizveido konfigurācijas fails.

nano /etc/fail2ban/jail.local

Kopējiet tālāk esošās rindiņas un ielīmējiet failā.

[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
#           sendmail-whois[name=SSH, dest=root, sender=fail2ban@example.com]
logpath  = /var/log/secure
maxretry = 5

• enabled: aktivizējiet aizsardzību. Ja vēlaties to izslēgt, mainiet vērtību uz false.
• filter: Pēc noklusējuma tas ir iestatīts uz sshd, kas attiecas uz failu /etc/fail2ban/filter.d/sshd.conf.
• action: Fail2Ban aizliedz IP, kas atbilst filtram /etc/fail2ban/action.d/iptables.conf. Ja iepriekš esat mainījis SSH portu, mainiet port=sshuz jauno portu, piemēram, port=2222. Ja izmantojat 22. portu, vērtība nav jāmaina.
• logpath: Fail2Ban izmantotā žurnālfaila ceļš.
• maxretry: maksimālais neveiksmīgo pieteikšanās mēģinājumu skaits.

Fail2Ban pakalpojuma palaišana

Palaidiet šīs divas tālāk norādītās komandas, lai palaistu pakalpojumu Fail2Ban:

chkconfig --level 23 fail2ban on
service fail2ban start

Visbeidzot pārbaudiet iptables, vai tai ir Fail2Ban pievienotie noteikumi.

iptables -L

Rezultāts izskatīsies līdzīgi šim izvadam.

Chain INPUT (policy ACCEPT)
target prot opt source destination
f2b-SSH tcp -- anywhere anywhere tcp dpt:EtherNet/IP-1

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain f2b-SSH (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Kā izsekot neveiksmīgiem pieteikšanās mēģinājumiem

Varat izmantot šo komandu, lai pārbaudītu, vai jūsu serverim ir bijuši neveiksmīgi pieteikšanās mēģinājumi (iespējami uzbrukumi).

cat /var/log/secure | grep 'Failed password'

Rezultāts izskatīsies līdzīgi šīm līnijām.

Dec  6 22:47:12 vultr sshd[7942]: Failed password for root from 43.229.53.67 port 23021 ssh2
Dec  6 22:47:15 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:16 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:18 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:31 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:34 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:36 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:39 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:41 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:43 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:47 vultr sshd[7952]: Failed password for root from 43.229.53.67 port 62846 ssh2
Dec  6 22:47:49 vultr sshd[7952]: Failed password for root from 43.229.53.67 port 62846 ssh2

Lai skatītu, kuri IP ir aizliegti, izmantojiet šo komandu.

iptables -L -n

Lai izdzēstu IP adresi no aizliegtā saraksta, palaidiet šo komandu. Mainiet banned_ipuz IP, kuru vēlaties atcelt.

iptables -D f2b-SSH -s banned_ip -j DROP