Kako nastaviti Fail2ban na Debian 9

Fail2ban, kot že ime pove, je pripomoček, zasnovan za pomoč pri zaščiti računalnikov Linux pred napadi s surovo silo na izbrana odprta vrata, zlasti vrata SSH. Zaradi funkcionalnosti in upravljanja sistema teh vrat ni mogoče zapreti s požarnim zidom. V teh okoliščinah je dobro uporabiti Fail2ban kot dodaten varnostni ukrep požarnemu zidu za omejevanje napadov s surovo silo na ta vrata.

V tem članku vam bom pokazal, kako namestiti in konfigurirati Fail2ban za zaščito vrat SSH, najpogostejšega cilja napada, na primerku strežnika Vultr Debian 9.

Predpogoji

• Nov primerek strežnika Debian 9 (Stretch) x64.
• Prijavljen kot root.
• Vsa neuporabljena vrata so bila blokirana z ustreznimi pravili IPTables.

1. korak: Posodobite sistem

apt update && apt upgrade -y
shutdown -r now

Ko se sistem zažene, se znova prijavite kot root.

2. korak: spremenite vrata SSH (izbirno)

Ker je privzeta številka vrat SSH 22preveč priljubljena, da bi jo prezrli, bi bila sprememba v manj znano številko vrat, recimo, 38752pametna odločitev.

sed -i "s/#Port 22/Port 38752/g" /etc/ssh/sshd_config
systemctl restart sshd.service

Po spremembi morate ustrezno posodobiti pravila IPTables:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 38752 -j ACCEPT

Shranite posodobljena pravila IPTables v datoteko zaradi obstojnosti:

iptables-save > /etc/iptables.up.rules
touch /etc/network/if-pre-up.d/iptables
chmod +x /etc/network/if-pre-up.d/iptables
echo '#!/bin/sh' >> /etc/network/if-pre-up.d/iptables
echo '/sbin/iptables-restore < /etc/iptables.up.rules' >> /etc/network/if-pre-up.d/iptables

Na ta način bodo pravila IPTables obstojna tudi po ponovnem zagonu sistema. Od zdaj naprej se boste morali prijaviti iz 38752pristanišča.

3. korak: Namestite in konfigurirajte fail2ban za zaščito SSH

Uporabite aptza namestitev stabilne različice Fail2ban, ki je trenutno 0.9.x:

apt install fail2ban -y

Po namestitvi se bo storitev Fail2ban samodejno zagnala. Za prikaz njegovega stanja lahko uporabite naslednji ukaz:

service fail2ban status

V Debianu bodo privzete nastavitve filtra Fail2ban shranjene tako v /etc/fail2ban/jail.confdatoteki kot v /etc/fail2ban/jail.d/defaults-debian.confdatoteki. Ne pozabite, da bodo nastavitve v zadnji datoteki preglasile ustrezne nastavitve v prvi.

Za ogled več podrobnosti uporabite naslednje ukaze:

cat /etc/fail2ban/jail.conf | less
cat /etc/fail2ban/jail.d/defaults-debian.conf
fail2ban-client status
fail2ban-client status sshd

Za vašo informacijo so spodaj navedeni odlomki kode o SSH:

v /etc/fail2ban/jail.conf:

[DEFAULT]

bantime = 600
...
maxentry = 5

[sshd]

port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

v /etc/fail2ban/jail.d/defaults-debian.conf:

[sshd]
enabled = true

Ker se lahko vsebina zgornjih dveh konfiguracijskih datotek spremeni v prihodnjih posodobitvah sistema, morate ustvariti lokalno konfiguracijsko datoteko za shranjevanje lastnih pravil filtra fail2ban. Ponovno bodo nastavitve v tej datoteki preglasile ustrezne nastavitve v obeh zgoraj omenjenih datotekah.

vi /etc/fail2ban/jail.d/jail-debian.local

Vnesite naslednje vrstice:

[sshd]
port = 38752
maxentry = 3

Opomba: Ne pozabite uporabiti lastnih vrat SSH. Razen portin maxentryomenjenega zgoraj, bodo vse druge nastavitve uporabljale privzete vrednosti.

Shrani in zapusti:

:wq

Znova zaženite storitev Fail2ban, da naložite novo konfiguracijo:

service fail2ban restart

Naša postavitev je končana. Od zdaj naprej, če kateri koli stroj 38752več kot trikrat pošlje napačne poverilnice SSH na vrata SSH po meri ( ) strežnika Debian , bo IP tega potencialno zlonamernega stroja prepovedan za 600 sekund.