Visiems iš interneto pasiekiamiems serveriams gresia kenkėjiškų programų išpuoliai. Pvz., Jei turite programą, prieinamą iš viešojo tinklo, užpuolikai gali bandyti grubiai bandyti patekti į programą.
„Fail2ban“ yra įrankis, padedantis apsaugoti jūsų „Linux“ mašiną nuo grubios jėgos ir kitų automatizuotų atakų, stebint, ar paslaugų žurnaluose nėra kenkėjiškos veiklos. Žurnalo failams nuskaityti jis naudoja įprastas išraiškas. Visi įrašai, atitinkantys šablonus, yra skaičiuojami, o kai jų skaičius pasiekia tam tikrą iš anksto nustatytą ribą, „Fail2ban“ tam tikrą laiką uždraudžia pažeidžiantį IP naudodamas sistemos užkardą. Pasibaigus draudimo laikotarpiui, IP adresas pašalinamas iš draudimų sąrašo.
Šiame straipsnyje paaiškinta, kaip įdiegti ir sukonfigūruoti „Fail2ban“ „Debian 10“.
„Fail2ban“ diegimas „Debian“ #
„Fail2ban“ paketas yra įtrauktas į numatytąsias „Debian 10“ saugyklas. Norėdami jį įdiegti, vykdykite šią komandą kaip root arba vartotoją su sudo teisėmis:
sudo apt atnaujinimas
sudo apt install fail2ban
Baigus „Fail2ban“ paslaugą, ji bus paleista automatiškai. Tai galite patikrinti patikrinę paslaugos būseną:
sudo systemctl būsena fail2ban
Išvestis atrodys taip:
● fail2ban.tarnyba - „Fail2Ban“ tarnyba įkelta: pakrauta (/ lib / systemd / system / fail2ban.aptarnavimas; įjungtas; išankstinis pardavėjo nustatymas: įjungtas) Aktyvus: aktyvus (veikia) nuo 2021-03-10 18:57:32 UTC; Prieš 47s ..
Viskas. Šiuo metu jūsų Debian serveryje veikia Fail2Ban.
„Fail2ban“ konfigūracijos Nr
Numatytasis „Fail2ban“ diegimas yra su dviem konfigūracijos failais, / etc / fail2ban / jail.konf
ir / etc / fail2ban / jail.d / defaults-debian.konf
. Neturėtumėte modifikuoti šių failų, nes atnaujinus paketą jie gali būti perrašyti.
„Fail2ban“ nuskaito konfigūracijos failus tokia tvarka. Kiekvienas .vietinis
failas nepaiso nustatymų iš .konf
failas:
/ etc / fail2ban / jail.konf
/ etc / fail2ban / jail.d / *.konf
/ etc / fail2ban / jail.vietinis
/ etc / fail2ban / jail.d / *.vietinis
Lengviausias būdas sukonfigūruoti „Fail2ban“ yra nukopijuoti kalėjimas.konf
į kalėjimas.vietinis
ir modifikuoti .vietinis
failą. Pažangesni vartotojai gali sukurti .vietinis
konfigūracijos failą nuo nulio. The .vietinis
faile nebūtinai turi būti visi atitinkamo nustatymai .konf
failą, tik tuos, kuriuos norite nepaisyti.
Sukurti .vietinis
konfigūracijos failą nukopijuojant numatytąjį kalėjimas.konf
failas:
sudo cp / etc / fail2ban / jail.conf, vietinis
Norėdami pradėti konfigūruoti atidarytą „Fail2ban“ serverį, kalėjimas.vietinis
failą su savo teksto rengykle:
sudo nano / etc / fail2ban / jail.vietinis
Faile yra komentarų, apibūdinančių, ką daro kiekviena konfigūravimo parinktis. Šiame pavyzdyje pakeisime pagrindinius nustatymus.
Įtraukti į baltąjį sąrašą IP adresus #
IP adresus, IP diapazonus ar pagrindinius kompiuterius, kuriuos norite uždrausti, galima pridėti prie ignoruoti
direktyvą. Čia turėtumėte pridėti savo vietinio kompiuterio IP adresą ir visas kitas mašinas, kurias norite įtraukti į baltąjį sąrašą.
Nekomentuokite eilutės, prasidedančios ignoruoti
ir pridėkite IP adresus, atskirtus tarpu:
ignoreip = 127.0.0.1/8 :: 1 123.123.123.123 192.168.1.0/24
Uždrausti nustatymus
bantime
, rasti laiko
, ir maxretry
parinktys nustato draudimo laiką ir draudimo sąlygas.
bantime
yra trukmė, kuriai IP yra uždraustas. Kai nenurodoma priesaga, ji pagal numatytuosius nustatymus yra sekundės. Pagal numatytuosius nustatymus bantime
vertė nustatyta kaip 10 minučių. Dauguma vartotojų nori nustatyti ilgesnį draudimo laiką. Pakeiskite vertę pagal savo skonį:
bantime = 1d
Jei norite visam laikui uždrausti IP, naudokite neigiamą skaičių.
rasti laiko
yra trukmė tarp gedimų skaičiaus prieš nustatant draudimą. Pvz., Jei „Fail2ban“ nustatytas uždrausti IP po penkių gedimų (maxretry
, (žr. toliau), šie gedimai turi įvykti rasti laiko
trukmė.
radimo laikas = 10m
maxretry
yra gedimų skaičius prieš uždraudžiant IP. Numatytoji vertė yra nustatyta penki, o tai turėtų būti gerai daugeliui vartotojų.
maksimalus bandymas = 5
Pranešimai el. Paštu #
„Fail2ban“ gali siųsti įspėjimus el. Paštu, kai IP yra uždraustas. Norėdami gauti el. Laiškus, savo serveryje turite būti įdiegę SMTP ir pakeisti numatytąjį veiksmą, kuris draudžia tik IP % (veiksmo_mw) s
, kaip parodyta žemiau:
veiksmas =% (action_mw) s
% (veiksmo_mw) s
draudžia pažeidžiantį IP ir siunčia el. laišką su „Whois“ ataskaita. Jei norite įtraukti atitinkamus žurnalus į el. Laišką, nustatykite veiksmą % (action_mwl) s
.
Taip pat galite pakeisti siunčiančius ir gaunančius el. Pašto adresus:
/ etc / fail2ban / jail.vietinisdestemail = admin @ linuxize.com siuntėjas = root @ linuxize.com
„Fail2ban“ kalėjimai #
„Fail2ban“ vartoja kalėjimų sąvoką. Kalėjimas apibūdina paslaugą ir apima filtrus bei veiksmus. Žurnalo įrašai, atitinkantys paieškos modelį, yra skaičiuojami, o įvykdžius iš anksto nustatytą sąlygą, atliekami atitinkami veiksmai.
„Fail2ban“ siunčia daugybę kalėjimų už skirtingas paslaugas. Taip pat galite sukurti savo kalėjimo konfigūracijas. Pagal numatytuosius nustatymus įjungtas tik „ssh“ kalėjimas.
Norėdami įgalinti kalėjimą, turite pridėti įgalinta = tiesa
po kalėjimo pavadinimo. Šiame pavyzdyje parodyta, kaip įgalinti postfix kalėjimą:
[postfix] įjungtas = true port = smtp, ssmtp filter = postfix logpath = / var / log / mail.žurnalas
Nustatymus, kuriuos aptarėme ankstesniame skyriuje, galima nustatyti kalėjime. Štai pavyzdys:
/ etc / fail2ban / jail.vietinis[sshd] įgalinta = true maxretry = 3 suradimo laikas = 1d bantime = 4w ignoreip = 127.0.0.1/8 11.22.33.44
Filtrai yra / etc / fail2ban / filter.d
kataloge, saugomame faile tuo pačiu pavadinimu kaip ir kalėjimas. Jei turite pasirinktinę sąranką ir naudojate įprastas išraiškas, galite tiksliai sureguliuoti filtrus.
Kiekvieną kartą, kai modifikuojamas konfigūracijos failas, „Fail2ban“ tarnyba turi būti paleista iš naujo, kad pakeitimai įsigaliotų:
sudo systemctl paleiskite fail2ban iš naujo
„Fail2ban“ kliento Nr
„Fail2ban“ siunčiamas su komandinės eilutės įrankiu pavadinimu fail2ban-klientas
kurį galite naudoti sąveikai su „Fail2ban“ paslauga.
Norėdami peržiūrėti visas galimas parinktis, iškvieskite komandą naudodami -h
variantas:
fail2ban-klientas -h
Šis įrankis gali būti naudojamas uždrausti / panaikinti IP adresus, pakeisti nustatymus, iš naujo paleisti paslaugą ir kt. Štai keli pavyzdžiai:
Gaukite dabartinę serverio būseną:
sudo fail2ban-kliento būsena
Patikrinkite kalėjimo būseną:
sudo fail2ban-kliento būsena sshd
Panaikinti IP:
sudo fail2ban-client set sshd unbanip 11.22.33.44
Uždrausti IP:
sudo fail2ban-client set sshd banip 11.22.33.44
Išvada Nr
Parodėme, kaip įdiegti ir sukonfigūruoti „Fail2ban“ „Debian 10“.
Norėdami gauti daugiau informacijos šia tema, apsilankykite „Fail2ban“ dokumentuose .
Jei turite klausimų, nedvejodami palikite komentarą žemiau.