Kako nastaviti Fail2Ban na CentOS

Uvod v Fail2Ban

Odjemalec se privzeto poveže s SSH prek vrat 22. Ker so to dobro znana vrata, je privzeta konfiguracija ranljiva za številne napade s surovo silo. Fail2Ban je rešitev za samodejno zaščito strežnika pred temi napadi. Program deluje v ozadju, skenira datoteke dnevnika, da zazna, kateri IP-ji napadajo, in jim samodejno prepove dostop do SSH.

Namestitev Fail2Ban

V tej vadnici bomo Fail2Ban namestili na CentOS 6 prek skladišča EPEL. Zaženite naslednje ukaze.

yum install epel-release
yum install fail2ban

Pojasnilo

• yum install epel-release: Namesti repozitorij EPEL (dodatni paketi za Enterprise Linux).
• yum install fail2ban: Namesti Fail2Ban iz skladišča EPEL.

Konfiguriranje nastavitev Fail2Ban

Odprite konfiguracijsko datoteko Fail2Ban.

nano /etc/fail2ban/jail.conf

V datoteki boste videli nekaj parametrov, kot je prikazano spodaj. Prilagodite katero koli vrednost svojim potrebam.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
ignoreip = 127.0.0.1

# "bantime" is the number of seconds that a host is banned.
bantime = 600

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime = 600

# "maxretry" is the number of failures before a host get banned.
maxretry = 3

Pojasnilo

• ignoreip: Ne prepovedujte gostiteljev, ki se ujemajo z naslovom na tem seznamu. Več naslovov je mogoče definirati z uporabo presledka. V to vrstico napišite svoj osebni IP.
• bantime: število sekund, v katerih je gostitelj prepovedan.
• findtime: Gostitelj je prepovedan, če je ustvaril maxretrymed zadnjim findtime.
• maxretry: Število napak, preden je gostitelj prepovedan.

Konfiguriranje Fail2Ban za zaščito SSH

Najprej moramo ustvariti konfiguracijsko datoteko.

nano /etc/fail2ban/jail.local

Kopirajte spodnje vrstice in jih prilepite v datoteko.

[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
#           sendmail-whois[name=SSH, dest=root, sender=fail2ban@example.com]
logpath  = /var/log/secure
maxretry = 5

• enabled: Aktivirajte zaščito. Če ga želite izklopiti, spremenite vrednost na false.
• filter: Privzeto je nastavljen na sshd, ki se nanaša na datoteko /etc/fail2ban/filter.d/sshd.conf.
• action: Fail2Ban bo prepovedal IP , ki se ujema s filtrom /etc/fail2ban/action.d/iptables.conf. Če ste vrata SSH že spremenili, spremenite port=sshna nova vrata, na primer port=2222. Če uporabljate vrata 22, vam vrednosti ne bo treba spreminjati.
• logpath: Pot datoteke dnevnika, ki jo uporablja Fail2Ban.
• maxretry: Največje število neuspelih poskusov prijave.

Zagon storitve Fail2Ban

Zaženite ta dva ukaza spodaj, da zaženete storitev Fail2Ban:

chkconfig --level 23 fail2ban on
service fail2ban start

Na koncu preverite, iptablesali ima pravila, ki jih je dodal Fail2Ban.

iptables -L

Rezultat bo podoben temu izhodu.

Chain INPUT (policy ACCEPT)
target prot opt source destination
f2b-SSH tcp -- anywhere anywhere tcp dpt:EtherNet/IP-1

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain f2b-SSH (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Kako slediti neuspešnim poskusom prijave

S tem ukazom lahko preverite, ali je bil vaš strežnik neuspešnih poskusov prijave (možni napadi).

cat /var/log/secure | grep 'Failed password'

Rezultat bo podoben tem vrsticam.

Dec  6 22:47:12 vultr sshd[7942]: Failed password for root from 43.229.53.67 port 23021 ssh2
Dec  6 22:47:15 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:16 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:18 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:31 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:34 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:36 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:39 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:41 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:43 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:47 vultr sshd[7952]: Failed password for root from 43.229.53.67 port 62846 ssh2
Dec  6 22:47:49 vultr sshd[7952]: Failed password for root from 43.229.53.67 port 62846 ssh2

Če si želite ogledati, kateri IP-ji so bili prepovedani, uporabite naslednji ukaz.

iptables -L -n

Če želite izbrisati naslov IP s seznama prepovedanih, zaženite naslednji ukaz. Spremenite banned_ipna IP, ki ga želite prekiniti.

iptables -D f2b-SSH -s banned_ip -j DROP