Як налаштувати Fail2Ban на CentOS

Знайомство з Fail2Ban

За замовчуванням клієнт підключається до SSH за допомогою порту 22. Оскільки це добре відомий порт, конфігурація за замовчуванням вразлива для багатьох атак грубої сили. Fail2Ban — це рішення для автоматичного захисту сервера від цих атак. Програма працює у фоновому режимі, сканує файли журналів, щоб визначити, які IP-адреси атакують, і автоматично забороняє їм доступ до SSH.

Встановлення Fail2Ban

У цьому підручнику ми встановимо Fail2Ban на CentOS 6 через репозиторій EPEL. Виконайте наступні команди.

yum install epel-release
yum install fail2ban

Пояснення

• yum install epel-release: Встановлює репозиторій EPEL (додаткові пакети для Enterprise Linux).
• yum install fail2ban: Встановлює Fail2Ban із репозиторію EPEL.

Налаштування параметрів Fail2Ban

Відкрийте файл конфігурації Fail2Ban.

nano /etc/fail2ban/jail.conf

У файлі ви побачите деякі параметри, як показано нижче. Налаштуйте будь-які значення відповідно до ваших потреб.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
ignoreip = 127.0.0.1

# "bantime" is the number of seconds that a host is banned.
bantime = 600

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime = 600

# "maxretry" is the number of failures before a host get banned.
maxretry = 3

Пояснення

• ignoreip: не блокуйте хости, які відповідають адресі в цьому списку. За допомогою роздільника пробілу можна визначити декілька адрес. Напишіть свою особисту IP у цьому рядку.
• bantime: кількість секунд, протягом яких хост блокується.
• findtime: Хост заборонений, якщо він створив maxretryпід час останнього findtime.
• maxretry: кількість збоїв перед блокуванням хоста.

Налаштування Fail2Ban для захисту SSH

Спочатку нам потрібно створити файл конфігурації.

nano /etc/fail2ban/jail.local

Скопіюйте рядки нижче та вставте їх у файл.

[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
#           sendmail-whois[name=SSH, dest=root, [email protected]]
logpath  = /var/log/secure
maxretry = 5

• enabled: активувати захист. Якщо ви хочете вимкнути його, змініть значення на false.
• filter: За замовчуванням для нього встановлено значення sshd, яке посилається на файл /etc/fail2ban/filter.d/sshd.conf.
• action: Fail2Ban забанить IP , що відповідає фільтру /etc/fail2ban/action.d/iptables.conf. Якщо ви раніше змінювали порт SSH, перейдіть port=sshна новий порт, наприклад port=2222. Якщо ви використовуєте порт 22, вам не потрібно буде змінювати значення.
• logpath: шлях до файлу журналу, який використовує Fail2Ban.
• maxretry: максимальна кількість невдалих спроб входу.

Запуск служби Fail2Ban

Виконайте ці дві команди нижче, щоб запустити службу Fail2Ban:

chkconfig --level 23 fail2ban on
service fail2ban start

Нарешті, перевірте, iptablesчи є до нього правила, додані Fail2Ban.

iptables -L

Результат буде схожим на цей результат.

Chain INPUT (policy ACCEPT)
target prot opt source destination
f2b-SSH tcp -- anywhere anywhere tcp dpt:EtherNet/IP-1

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain f2b-SSH (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Як відстежити невдалі спроби входу

Ви можете використовувати цю команду, щоб перевірити, чи не були спроби входу на ваш сервер (можливі атаки).

cat /var/log/secure | grep 'Failed password'

Результат буде схожий на ці рядки.

Dec  6 22:47:12 vultr sshd[7942]: Failed password for root from 43.229.53.67 port 23021 ssh2
Dec  6 22:47:15 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:16 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:18 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:31 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:34 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:36 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:39 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:41 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:43 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:47 vultr sshd[7952]: Failed password for root from 43.229.53.67 port 62846 ssh2
Dec  6 22:47:49 vultr sshd[7952]: Failed password for root from 43.229.53.67 port 62846 ssh2

Щоб переглянути, які IP-адреси були заборонені, скористайтеся такою командою.

iptables -L -n

Щоб видалити IP-адресу зі списку заборонених, виконайте таку команду. Змініть banned_ipIP-адресу, яку ви хочете розбанити.

iptables -D f2b-SSH -s banned_ip -j DROP