Як налаштувати Fail2ban на Debian 9

Fail2ban, як випливає з назви, — це утиліта, розроблена для захисту машин Linux від атак грубої сили на окремі відкриті порти, особливо порт SSH. З метою забезпечення функціональності та керування системою ці порти не можна закрити за допомогою брандмауера. За цієї обставини доцільно використовувати Fail2ban як додатковий захід безпеки до брандмауера, щоб обмежити трафік грубої сили на ці порти.

У цій статті я покажу вам, як встановити та налаштувати Fail2ban для захисту порту SSH, найбільш поширеної мети атаки, на сервері Vultr Debian 9.

Передумови

• Свіжий екземпляр сервера Debian 9 (Stretch) x64.
• Увійшов як root.
• Усі невикористані порти заблоковано відповідними правилами IPTables.

Крок 1: Оновіть систему

apt update && apt upgrade -y
shutdown -r now

Після завантаження системи знову увійдіть як root.

Крок 2. Змініть порт SSH (необов'язково)

Оскільки номер порту SSH за замовчуванням 22занадто популярний, щоб його ігнорувати, змінити його на менш відомий номер порту, скажімо, 38752було б розумним рішенням.

sed -i "s/#Port 22/Port 38752/g" /etc/ssh/sshd_config
systemctl restart sshd.service

Після модифікації вам потрібно відповідно оновити правила IPTables:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 38752 -j ACCEPT

Збережіть оновлені правила IPTables у файлі з метою збереження:

iptables-save > /etc/iptables.up.rules
touch /etc/network/if-pre-up.d/iptables
chmod +x /etc/network/if-pre-up.d/iptables
echo '#!/bin/sh' >> /etc/network/if-pre-up.d/iptables
echo '/sbin/iptables-restore < /etc/iptables.up.rules' >> /etc/network/if-pre-up.d/iptables

Таким чином, правила IPTables залишаться постійними навіть після перезавантаження системи. Відтепер вам потрібно буде увійти з 38752порту.

Крок 3: Установіть та налаштуйте fail2ban для захисту SSH

Використовуйте aptдля встановлення стабільної версії Fail2ban, яка наразі 0.9.x:

apt install fail2ban -y

Після встановлення сервіс Fail2ban запуститься автоматично. Ви можете використовувати таку команду, щоб показати його статус:

service fail2ban status

У Debian параметри фільтра Fail2ban за замовчуванням зберігатимуться як у /etc/fail2ban/jail.confфайлі, так і у /etc/fail2ban/jail.d/defaults-debian.confфайлі. Пам’ятайте, що налаштування в останньому файлі замінять відповідні налаштування в першому.

Використовуйте такі команди, щоб переглянути докладнішу інформацію:

cat /etc/fail2ban/jail.conf | less
cat /etc/fail2ban/jail.d/defaults-debian.conf
fail2ban-client status
fail2ban-client status sshd

Для вашої інформації нижче наведено уривки коду про SSH:

в /etc/fail2ban/jail.conf:

[DEFAULT]

bantime = 600
...
maxentry = 5

[sshd]

port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

в /etc/fail2ban/jail.d/defaults-debian.conf:

[sshd]
enabled = true

Оскільки вміст двох конфігураційних файлів вище може змінитися в майбутніх оновленнях системи, вам слід створити локальний файл конфігурації для зберігання ваших власних правил фільтрації fail2ban. Знову ж таки, налаштування в цьому файлі замінять відповідні налаштування в двох згаданих вище файлах.

vi /etc/fail2ban/jail.d/jail-debian.local

Введіть такі рядки:

[sshd]
port = 38752
maxentry = 3

Примітка. Обов’язково використовуйте свій власний порт SSH. За винятком portі maxentryзгаданих вище, усі інші налаштування використовуватимуть значення за замовчуванням.

Збережіть і вийдіть:

:wq

Перезапустіть службу Fail2ban, щоб завантажити нову конфігурацію:

service fail2ban restart

Наше налаштування завершено. Відтепер, якщо будь-яка машина надсилає неправильні облікові дані SSH до спеціального порту SSH ( 38752) сервера Debian більше трьох разів, IP-адреса цієї потенційно шкідливої ​​машини буде заблокована на 600 секунд.