Hur man ställer in Fail2ban på Debian 9

Fail2ban, som namnet antyder, är ett verktyg designat för att skydda Linux-maskiner från brute-force-attacker på utvalda öppna portar, särskilt SSH-porten. Av hänsyn till systemfunktionalitet och hantering kan dessa portar inte stängas med en brandvägg. Under dessa omständigheter är det en bra idé att använda Fail2ban som en kompletterande säkerhetsåtgärd till en brandvägg för att begränsa brute-force attack trafik på dessa portar.

I den här artikeln kommer jag att visa dig hur du installerar och konfigurerar Fail2ban för att skydda SSH-porten, det vanligaste attackmålet, på en Vultr Debian 9-serverinstans.

Förutsättningar

• En ny Debian 9 (Stretch) x64-serverinstans.
• Inloggad som root.
• Alla oanvända portar har blockerats med korrekta IPTables-regler.

Steg 1: Uppdatera systemet

apt update && apt upgrade -y
shutdown -r now

Efter att systemet har startat upp, logga in igen som root.

Steg 2: Ändra SSH-porten (valfritt)

Eftersom standard SSH-portnumret 22är för populärt för att ignorera, 38752skulle det vara ett smart beslut att ändra det till ett mindre känt portnummer .

sed -i "s/#Port 22/Port 38752/g" /etc/ssh/sshd_config
systemctl restart sshd.service

Efter ändringen måste du uppdatera IPTables-reglerna i enlighet med detta:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 38752 -j ACCEPT

Spara de uppdaterade IPTables-reglerna i en fil för beständighet:

iptables-save > /etc/iptables.up.rules
touch /etc/network/if-pre-up.d/iptables
chmod +x /etc/network/if-pre-up.d/iptables
echo '#!/bin/sh' >> /etc/network/if-pre-up.d/iptables
echo '/sbin/iptables-restore < /etc/iptables.up.rules' >> /etc/network/if-pre-up.d/iptables

På detta sätt kommer IPTables-reglerna att vara beständiga även efter en omstart av systemet. Från och med nu måste du logga in från 38752porten.

Steg 3: Installera och konfigurera fail2ban för att skydda SSH

Använd för aptatt installera den stabila versionen av Fail2ban som för närvarande är 0.9.x:

apt install fail2ban -y

Efter installationen startar Fail2ban-tjänsten automatiskt. Du kan använda följande kommando för att visa dess status:

service fail2ban status

På Debian kommer standardinställningarna för Fail2ban-filter att lagras i både /etc/fail2ban/jail.conffilen och /etc/fail2ban/jail.d/defaults-debian.conffilen. Kom ihåg att inställningarna i den senare filen kommer att åsidosätta motsvarande inställningar i den förra.

Använd följande kommandon för att se mer information:

cat /etc/fail2ban/jail.conf | less
cat /etc/fail2ban/jail.d/defaults-debian.conf
fail2ban-client status
fail2ban-client status sshd

För din information finns kodutdrag om SSH listade nedan:

I /etc/fail2ban/jail.conf:

[DEFAULT]

bantime = 600
...
maxentry = 5

[sshd]

port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

I /etc/fail2ban/jail.d/defaults-debian.conf:

[sshd]
enabled = true

Eftersom innehållet i de två konfigurationsfilerna ovan kan ändras i framtida systemuppdateringar, bör du skapa en lokal konfigurationsfil för att lagra dina egna fail2ban-filterregler. Återigen kommer inställningarna i den här filen att åsidosätta motsvarande inställningar i de två filerna som nämns ovan.

vi /etc/fail2ban/jail.d/jail-debian.local

Mata in följande rader:

[sshd]
port = 38752
maxentry = 3

Obs: Se till att använda din egen SSH-port. Förutom portoch som maxentrynämns ovan kommer alla andra inställningar att använda standardvärdena.

Spara och avsluta:

:wq

Starta om Fail2ban-tjänsten för att ladda den nya konfigurationen:

service fail2ban restart

Vår installation är klar. Om någon maskin från och med nu skickar felaktiga SSH-uppgifter till Debian-serverns anpassade SSH-port ( 38752) mer än tre gånger, kommer IP:n för denna potentiellt skadliga maskin att förbjudas i 600 sekunder.