Ako nastaviť Fail2Ban na CentOS

Úvod do Fail2Ban

V predvolenom nastavení sa klient pripája k SSH pomocou portu 22. Pretože ide o dobre známy port, predvolená konfigurácia je zraniteľná voči mnohým útokom hrubou silou. Fail2Ban je riešenie na automatickú ochranu servera pred týmito útokmi. Program beží na pozadí, skenuje protokolové súbory, aby zistil, ktoré adresy IP útočia, a automaticky im zakáže prístup k SSH.

Inštalácia Fail2Ban

V tomto návode nainštalujeme Fail2Ban na CentOS 6 cez úložisko EPEL. Spustite nasledujúce príkazy.

yum install epel-release
yum install fail2ban

Vysvetlenie

• yum install epel-release: Nainštaluje úložisko EPEL (Extra Packages pre Enterprise Linux).
• yum install fail2ban: Nainštaluje Fail2Ban z úložiska EPEL.

Konfigurácia nastavení Fail2Ban

Otvorte konfiguračný súbor Fail2Ban.

nano /etc/fail2ban/jail.conf

V súbore uvidíte niektoré parametre, ako je uvedené nižšie. Upravte ktorúkoľvek z hodnôt podľa svojich potrieb.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
ignoreip = 127.0.0.1

# "bantime" is the number of seconds that a host is banned.
bantime = 600

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime = 600

# "maxretry" is the number of failures before a host get banned.
maxretry = 3

Vysvetlenie

• ignoreip: Nezakazujte hostiteľov, ktorí zodpovedajú adrese v tomto zozname. Pomocou oddeľovača medzery je možné definovať niekoľko adries. Na tento riadok napíšte svoju osobnú IP.
• bantime: Počet sekúnd, počas ktorých je hostiteľovi zakázaný prístup.
• findtime: Hostiteľ je zakázaný, ak sa vygeneroval maxretrypočas posledného findtime.
• maxretry: Počet zlyhaní pred zakázaním hostiteľa.

Konfigurácia Fail2Ban na ochranu SSH

Najprv musíme vytvoriť konfiguračný súbor.

nano /etc/fail2ban/jail.local

Skopírujte riadky nižšie a prilepte ich do súboru.

[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
#           sendmail-whois[name=SSH, dest=root, sender=fail2ban@example.com]
logpath  = /var/log/secure
maxretry = 5

• enabled: Aktivácia ochrany. Ak ho chcete vypnúť, zmeňte hodnotu na false.
• filter: Štandardne je nastavený na sshd, ktorý odkazuje na súbor /etc/fail2ban/filter.d/sshd.conf.
• action: Fail2Ban zakáže IP, ktorá zodpovedá filtru /etc/fail2ban/action.d/iptables.conf. Ak ste predtým zmenili port SSH, zmeňte port=sshho na nový port, napríklad port=2222. Ak používate port 22, nebudete musieť meniť hodnotu.
• logpath: Cesta k súboru denníka, ktorý používa Fail2Ban.
• maxretry: Maximálny počet neúspešných pokusov o prihlásenie.

Spúšťa sa služba Fail2Ban

Spustite tieto dva príkazy nižšie na spustenie služby Fail2Ban:

chkconfig --level 23 fail2ban on
service fail2ban start

Nakoniec skontrolujte, iptablesči má pravidlá pridané Fail2Ban.

iptables -L

Výsledok bude vyzerať podobne ako tento výstup.

Chain INPUT (policy ACCEPT)
target prot opt source destination
f2b-SSH tcp -- anywhere anywhere tcp dpt:EtherNet/IP-1

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain f2b-SSH (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Ako sledovať neúspešné pokusy o prihlásenie

Tento príkaz môžete použiť na kontrolu, či váš server zlyhal pri pokusoch o prihlásenie (možné útoky).

cat /var/log/secure | grep 'Failed password'

Výsledok bude vyzerať podobne ako tieto riadky.

Dec  6 22:47:12 vultr sshd[7942]: Failed password for root from 43.229.53.67 port 23021 ssh2
Dec  6 22:47:15 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:16 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:18 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:31 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:34 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:36 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:39 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:41 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:43 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:47 vultr sshd[7952]: Failed password for root from 43.229.53.67 port 62846 ssh2
Dec  6 22:47:49 vultr sshd[7952]: Failed password for root from 43.229.53.67 port 62846 ssh2

Ak chcete zobraziť, ktoré adresy IP boli zakázané, použite nasledujúci príkaz.

iptables -L -n

Ak chcete odstrániť IP adresu zo zoznamu zakázaných, spustite nasledujúci príkaz. Zmeňte banned_ipna IP adresu, ktorú chcete zrušiť.

iptables -D f2b-SSH -s banned_ip -j DROP