Ako nastaviť Fail2ban na Debiane 9

Fail2ban, ako už názov napovedá, je pomôcka určená na ochranu počítačov so systémom Linux pred útokmi hrubou silou na vybrané otvorené porty, najmä port SSH. Z dôvodu funkčnosti a správy systému nie je možné tieto porty zatvoriť pomocou brány firewall. Za týchto okolností je dobré použiť Fail2ban ako doplnkové bezpečnostné opatrenie k bráne firewall, aby sa obmedzil prenos hrubou silou na tieto porty.

V tomto článku vám ukážem, ako nainštalovať a nakonfigurovať Fail2ban na ochranu portu SSH, najbežnejšieho cieľa útoku, na inštancii servera Vultr Debian 9.

Predpoklady

• Nová inštancia servera Debian 9 (Stretch) x64.
• Prihlásený ako root.
• Všetky nepoužívané porty boli zablokované správnymi pravidlami IPTables.

Krok 1: Aktualizujte systém

apt update && apt upgrade -y
shutdown -r now

Po spustení systému sa znova prihláste ako root.

Krok 2: Upravte port SSH (voliteľné)

Keďže predvolené číslo portu SSH 22je príliš populárne na to, aby sa dalo ignorovať, zmeniť ho na menej známe číslo portu 38752by bolo rozumné rozhodnutie.

sed -i "s/#Port 22/Port 38752/g" /etc/ssh/sshd_config
systemctl restart sshd.service

Po úprave musíte zodpovedajúcim spôsobom aktualizovať pravidlá IPTables:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 38752 -j ACCEPT

Uložte aktualizované pravidlá IPTables do súboru na účely trvalosti:

iptables-save > /etc/iptables.up.rules
touch /etc/network/if-pre-up.d/iptables
chmod +x /etc/network/if-pre-up.d/iptables
echo '#!/bin/sh' >> /etc/network/if-pre-up.d/iptables
echo '/sbin/iptables-restore < /etc/iptables.up.rules' >> /etc/network/if-pre-up.d/iptables

Týmto spôsobom budú pravidlá IPTables trvalé aj po reštarte systému. Odteraz sa budete musieť prihlásiť z 38752portu.

Krok 3: Nainštalujte a nakonfigurujte fail2ban na ochranu SSH

Použite aptna inštaláciu stabilnej verzie Fail2ban, ktorá je momentálne 0.9.x:

apt install fail2ban -y

Po inštalácii sa služba Fail2ban automaticky spustí. Na zobrazenie jeho stavu môžete použiť nasledujúci príkaz:

service fail2ban status

V Debiane budú predvolené nastavenia filtra Fail2ban uložené v /etc/fail2ban/jail.confsúbore aj v /etc/fail2ban/jail.d/defaults-debian.confsúbore. Pamätajte, že nastavenia v druhom súbore prepíšu zodpovedajúce nastavenia v prvom súbore.

Ak chcete zobraziť ďalšie podrobnosti, použite nasledujúce príkazy:

cat /etc/fail2ban/jail.conf | less
cat /etc/fail2ban/jail.d/defaults-debian.conf
fail2ban-client status
fail2ban-client status sshd

Pre vašu informáciu sú nižšie uvedené úryvky kódu o SSH:

V /etc/fail2ban/jail.conf:

[DEFAULT]

bantime = 600
...
maxentry = 5

[sshd]

port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

V /etc/fail2ban/jail.d/defaults-debian.conf:

[sshd]
enabled = true

Keďže obsah v dvoch vyššie uvedených konfiguračných súboroch sa môže v budúcich aktualizáciách systému zmeniť, mali by ste vytvoriť lokálny konfiguračný súbor na uloženie vlastných pravidiel filtra fail2ban. Opäť platí, že nastavenia v tomto súbore prepíšu zodpovedajúce nastavenia v dvoch vyššie uvedených súboroch.

vi /etc/fail2ban/jail.d/jail-debian.local

Zadajte nasledujúce riadky:

[sshd]
port = 38752
maxentry = 3

Poznámka: Uistite sa, že používate svoj vlastný port SSH. S výnimkou porta maxentryje uvedené vyššie, budú všetky ostatné nastavenia použiť predvolené hodnoty.

Uložiť a ukončiť:

:wq

Reštartujte službu Fail2ban, aby ste mohli načítať novú konfiguráciu:

service fail2ban restart

Naše nastavenie je dokončené. Odteraz, ak ktorýkoľvek počítač pošle nesprávne prihlasovacie údaje SSH na vlastný port SSH servera Debian ( 38752) viac ako trikrát, IP tohto potenciálne škodlivého počítača bude zakázaná na 600 sekúnd.