Saugumas

Kaip sukonfigūruoti IPS (Fail2ban), kad būtų apsaugota nuo skirtingų atakų

Kaip sukonfigūruoti IPS (Fail2ban), kad būtų apsaugota nuo skirtingų atakų

IPS arba įsibrovimų prevencijos sistema yra technologija, naudojama tinklo apsaugai tirti tinklo srautą ir užkirsti kelią skirtingoms atakoms aptikti kenksmingus duomenis. Be to, kad tik aptinka kenkėjiškas įvestis, kaip tai daro įsibrovimo aptikimo sistema, ji taip pat apsaugo tinklą nuo kenkėjiškų atakų. Tai gali užkirsti kelią tinklui nuo grubios jėgos, „DoS“ (paslaugų atsisakymas), „DDoS“ (paskirstytas paslaugų atsisakymas), išnaudojimo, kirminų, virusų ir kitų įprastų atakų. IPS dedami iškart už ugniasienės ir gali siųsti aliarmus, mesti kenksmingus paketus ir užblokuoti pažeidžiančius IP adresus. Šioje pamokoje naudosime „Fail2ban“, kuris yra įsilaužimų prevencijos programinės įrangos paketas, kad pridėtume saugos sluoksnį nuo skirtingų grubių jėgų atakų.

Kaip veikia „Fail2ban“

Fail2ban skaito žurnalo failus (pvz.,.g. / var / log / apache / error_log) ir gauna pažeidžiančius IP, kurie bando per daug nepavykusių slaptažodžių arba ieško išnaudojimų. Iš esmės „Fail2ban“ atnaujina užkardos taisykles, kad blokuotų skirtingus serverio IP adresus. „Fail2ban“ taip pat pateikia filtrus, kuriuos galime naudoti konkrečiai paslaugai (pvz.,.g., apache, ssh ir kt.).

Diegiama „Fail2ban“

„Fail2ban“ nėra iš anksto įdiegtas „Ubuntu“, todėl prieš jį naudodami turime jį įdiegti.

[apsaugotas el. paštas]: ~ $ sudo apt-get update -y
[apsaugotas el. paštu]: ~ $ sudo apt-get install fail2ban

Įdiegę „Fail2ban“, paleiskite ir įjunkite „Fail2ban“ paslaugą naudodami komandų eilutę.

[apsaugotas el. paštas]: ~ $ sudo systemctl start fail2ban
[apsaugotas el. paštas]: ~ $ sudo systemctl įjungti fail2ban


Dabar patikrinkite „fail2ban“ paslaugos būseną, kad patvirtintumėte, ar ji prasidėjo, ar ne.

[apsaugotas el. paštas]: ~ $ sudo systemctl būsena fail2ban

„Fail2ban“ konfigūravimas SSH

Mes galime sukonfigūruoti „Fail2ban“ modifikuodami / etc / fail2ban / jail.konf failas. Prieš modifikuodami atlikite šio failo atsarginę kopiją.

[apsaugotas el. paštu]: ~ $ sudo cp / etc / fail2ban / jail.conf / etc / fail2ban / jail.vietinis

Dabar sukonfigūruosime „Fail2ban“, kad „sshd“ tarnyba nepatektų į kenkėjiškas įvestis. Atidarykite / etc / fail2ban / jail.vietinis failas jūsų mėgstamiausiame redaktoriuje.

[apsaugotas el. paštu]: ~ $ sudo nano / etc / fail2ban / jail.vietinis

Eikite į [numatytas] skyriuje ir įveskite konfigūracijos parametrus skiltyje [numatytas] skyrius.

[NUMATYTAS]
ignoreip = 127.0.0.1/8 192.168.18.10/32
bantime = 300
maksretry = 2
suradimo laikas = 600

ignoruoti yra cidr kaukės, IP adreso ar DNS pagrindinio kompiuterio sąrašas, atskirtas tarpo ženklu. Įtraukite patikimus IP į šį sąrašą ir šie IP bus įtraukti į baltąjį sąrašą ir nebus užblokuoti fail2ban, net jei jie atliks grubią jėgos ataką serveryje.

bantime yra laikas, kai IP bus užblokuotas atlikus tam tikrą nesėkmingų bandymų serveriui skaičių.

maxretry yra didžiausių nepavykusių bandymų skaičius, po kurio fail2ban užblokuoja IP tam tikrą laiką.

rasti laiko yra laikas, per kurį, jei šeimininkas daro maxretry nepavykę bandymai, jis bus užblokuotas.

Sukonfigūravę pirmiau nurodytus parametrus, dabar sukonfigūruosime paslaugą, kuriai bus taikomos pirmiau nurodytos taisyklės. Pagal numatytuosius nustatymus „Fail2ban“ turi iš anksto nustatytus skirtingų paslaugų filtrus, todėl mums nereikia įvesti jokių konkrečių paslaugų įrašų. Įjungiame arba išjungiame skirtingas paslaugas tik konfigūracijos faile. Atidarykite / etc / fail2ban / jail.vietinis failas jūsų mėgstamiausiame redaktoriuje.

[apsaugotas el. paštas]: ~ $ sudo nano / etc / fail2ban / jail.vietinis

Surask [sshd] skyriuje faile ir skyriuje įveskite šiuos parametrus.

[sshd]
įgalinti = tiesa
uostas = ssh
filtras = sshd
logpath = / var / log / auth.žurnalas
maksimalus bandymas = 3

įjungtas apibrėžia, ar šią paslaugą saugo fail2ban, ar ne. Jei įjungta yra teisinga, paslauga yra saugoma; priešingu atveju jis nėra saugomas.

uostas apibrėžia paslaugų uostą.

filtras nurodo konfigūracijos failą, kurį naudos fail2ban. Pagal numatytuosius nustatymus jis naudos / etc / fail2ban / filter.d / sshd.conf failas, skirtas ssh paslaugai.

žurnalo kelias apibrėžia kelią į žurnalus, fail2ban stebės, kad apsaugotų paslaugą nuo skirtingų atakų. Jei norite gauti ssh paslaugą, autentifikavimo žurnalus galite rasti adresu / var / log / auth.žurnalą, todėl fail2ban stebės šį žurnalo failą ir atnaujins užkardą aptikęs nepavykusius prisijungimo bandymus.

maxretry nustato nesėkmingų prisijungimo bandymų skaičių prieš užblokuojant fail2ban.

Pritaikę aukščiau nurodytą fail2ban konfigūraciją, iš naujo paleiskite paslaugą, kad išsaugotumėte pakeitimus.

[apsaugotas el. paštas]: ~ $ sudo systemctl paleiskite iš naujo fail2ban.paslaugą
[apsaugotas el. paštas]: ~ $ sudo systemctl būsena fail2ban.paslaugą

Testuojamas fail2ban

Mes sukonfigūravome fail2ban, kad apsaugotume savo sistemą nuo grubios jėgos atakų ssh tarnyboje. Dabar mes bandysime nesėkmingai prisijungti prie savo sistemos iš kitos sistemos, kad patikrintume, ar fail2ban veikia, ar ne. Dabar atlikę keletą nesėkmingų bandymų prisijungti, patikrinsime fail2ban žurnalus.

[apsaugotas el. paštas]: ~ $ cat / var / log / fail2ban.žurnalas

Matome, kad po nesėkmingų bandymų prisijungti, fail2ban užblokavo IP.

Visų paslaugų, kurioms įgalintas fail2ban, sąrašą galime gauti naudodami šią komandą.

[email protected]: ~ $ sudo fail2ban-kliento būsena


Ankstesnis paveikslėlis rodo, kad fail2ban įgalinome tik sshd paslaugą. Daugiau informacijos apie sshd paslaugą galime gauti nurodydami paslaugos pavadinimą aukščiau pateiktoje komandoje.

[apsaugotas el. paštas]: ~ $ sudo fail2ban-kliento būsena sshd

„Fail2ban“ automatiškai atjungia uždraustą IP adresą po bantimo laiko, tačiau bet kurį IP galime bet kada panaikinti naudodami komandinę eilutę. Tai suteiks daugiau galimybių valdyti fail2ban. Norėdami panaikinti IP adreso naudojimą, naudokite šią komandą.

[apsaugotas el. pašto adresas]: ~ $ sudo fail2ban-client set sshd unbanip 192.168.43.35

Jei bandysite panaikinti IP adresą, kurio neužblokavo fail2ban, jis tiesiog pasakys, kad IP nėra užblokuotas.

[apsaugotas el. paštu]: ~ $ sudo fail2ban-client set sshd unbanip 192.168.43.35

Išvada

Sistemos administratoriui ar saugos inžinieriui išlaikyti serverių saugumą yra didelis iššūkis. Jei jūsų serveris yra apsaugotas slaptažodžiu, o ne viešųjų ir privačių raktų pora, jūsų serveris yra labiau pažeidžiamas grubios jėgos užpuolikų. Jie gali patekti į jūsų sistemą taikydami skirtingus slaptažodžių derinius. „Fail2ban“ yra įrankis, kuris gali užkirsti kelią užpuolikams pradėti įvairias atakas, įskaitant žiaurios jėgos išpuolius ir DDoS išpuolius jūsų serveryje. Šioje pamokoje aptarėme, kaip galėtume naudoti „Fail2ban“, kad apsaugotume savo serverį nuo skirtingų atakų. Mes taip pat galime naudoti „Fail2ban“, kad apsaugotume kitas paslaugas, tokias kaip apache, nginx ir kt.

Kaip parodyti FPS skaitiklį „Linux“ žaidimuose
„Linux“ žaidimai gavo didelį postūmį, kai „Valve“ paskelbė „Linux“ palaikymą „Steam“ klientui ir jų žaidimams 2012 m. Nuo tada daugelis AAA ir indie ž...
Kaip atsisiųsti ir paleisti „Sid Meier Civilization VI“ sistemoje „Linux“
Įvadas į žaidimą „Civilization 6“ yra šiuolaikinė klasikinės koncepcijos, pristatytos „Age of Empires“ žaidimų serijoje, koncepcija. Idėja buvo gana p...
Kaip įdiegti ir žaisti „Doom“ sistemoje „Linux“
Įvadas į Doom „Doom“ serija atsirado 90-aisiais, išleidus originalų „Doom“. Tai buvo tiesioginis hitas, o nuo to laiko žaidimų serija gavo daugybę apd...