Az Internetről elérhető összes kiszolgálót rosszindulatú programok támadhatják meg. Például, ha van olyan alkalmazás, amely elérhető a nyilvános hálózatról, a támadók durva erővel próbálkozhatnak az alkalmazáshoz való hozzáféréssel.
A Fail2ban egy olyan eszköz, amely segít megvédeni Linux gépét a durva erőtől és más automatizált támadásoktól azáltal, hogy figyeli a szolgáltatásnaplókat rosszindulatú tevékenységek ellen. Rendszeres kifejezéseket használ a naplófájlok beolvasásához. Az összes mintának megfelelő bejegyzés megszámlálásra kerül, és amikor a számuk eléri az előre meghatározott küszöbértéket, a Fail2ban a rendszer tűzfala segítségével egy meghatározott ideig tiltja a sértő IP-t. Amikor a tiltási időszak lejár, az IP-cím törlődik a tiltási listáról.
Ez a cikk elmagyarázza a Fail2ban telepítését és konfigurálását a Debian 10-en.
A Fail2ban telepítése a Debianra #
A Fail2ban csomag az alapértelmezett Debian 10 adattárakban található. Telepítéséhez futtassa a következő parancsot root vagy felhasználóként sudo jogosultságokkal:
sudo apt frissítés
sudo apt install fail2ban
Miután elkészült, a Fail2ban szolgáltatás automatikusan elindul. A szolgáltatás állapotának ellenőrzésével ellenőrizheti:
sudo systemctl állapot fail2ban
A kimenet a következőképpen fog kinézni:
● fail2ban.szolgáltatás - Fail2Ban Szolgáltatás betöltve: betöltve (/ lib / systemd / system / fail2ban.szolgáltatás; engedélyezve; gyártói előre beállított: engedélyezve) Aktív: aktív (fut) 2021-03-10, 18:57:32 UTC óta; 47 évvel ezelőtt…
Ez az. Ezen a ponton a Fail2Ban fut a Debian szerveren.
Fail2ban konfiguráció #
Az alapértelmezett Fail2ban telepítés két konfigurációs fájlt tartalmaz, / etc / fail2ban / jail.konf
és / etc / fail2ban / jail.d / defaults-debian.konf
. Nem szabad módosítania ezeket a fájlokat, mivel a csomag frissítésekor felülíródhatnak.
A Fail2ban a következő sorrendben olvassa el a konfigurációs fájlokat. Minden egyes .helyi
fájl felülírja a beállításokat a .konf
fájl:
/ etc / fail2ban / jail.konf
/ etc / fail2ban / jail.d / *.konf
/ etc / fail2ban / jail.helyi
/ etc / fail2ban / jail.d / *.helyi
A Fail2ban konfigurálásának legegyszerűbb módja a fájl másolása börtön.konf
nak nek börtön.helyi
és módosítsa a .helyi
fájl. Haladóbb felhasználók építhetnek a .helyi
konfigurációs fájl a semmiből. A .helyi
a fájlnak nem kell tartalmaznia a megfelelő beállításokat .konf
fájl, csak azokat, akiket felül akar írni.
Hozzon létre egy .helyi
konfigurációs fájl az alapértelmezett másolásával börtön.konf
fájl:
sudo cp / etc / fail2ban / jail.conf, helyi
A Fail2ban kiszolgáló konfigurálásának megkezdéséhez nyissa meg a börtön.helyi
fájl a szövegszerkesztővel:
sudo nano / etc / fail2ban / jail.helyi
A fájl megjegyzéseket tartalmaz, amelyek leírják az egyes konfigurációs lehetőségek működését. Ebben a példában megváltoztatjuk az alapbeállításokat.
IP-címek engedélyezőlistájába sorolása #
Azok a IP-címek, IP-tartományok vagy gazdagépek, amelyeket ki akar zárni a tiltás alól, hozzáadhatók a ignoreip
irányelv. Itt kell hozzáadnia a helyi PC IP-címét és az összes többi gépet, amelyet engedélyezőlistára szeretne tenni.
Kommenteld a kezdő sort ignoreip
és adja hozzá IP-címeit szóközzel elválasztva:
ignoreip = 127.0.0.1/8 :: 1 123.123.123.123 192.168.1.0/24
Beállítások kitiltása #
bantime
, találási idő
, és maxretry
az opciók meghatározzák a tiltási időt és a tiltási feltételeket.
bantime
az az időtartam, amelyre az IP tiltva van. Ha nincs megadva utótag, akkor az alapértelmezés szerint másodperc. Alapértelmezés szerint a bantime
értéke 10 perc. A legtöbb felhasználó inkább hosszabb tiltási időt állít be. Változtassa meg az értéket tetszése szerint:
bantime = 1d
Az IP végleges letiltásához használjon negatív számot.
találási idő
a tiltások meghatározása előtti hibák száma közötti időtartam. Például, ha a Fail2ban úgy van beállítva, hogy öt hiba után tiltja az IP-t (maxretry
, lásd alább), ezeknek a hibáknak a találási idő
időtartamát.
találási idő = 10m
maxretry
az IP-betiltás előtti hibák száma. Az alapértelmezett érték öt, ami a legtöbb felhasználó számára megfelelő.
maxretry = 5
Email Értesítések #
A Fail2ban e-mail értesítéseket küldhet, ha egy IP-t betiltottak. E-mailek fogadásához telepítenie kell egy SMTP-t a szerverre, és módosítania kell az alapértelmezett műveletet, amely csak az % (action_mw) s
, az alábbiak szerint:
művelet =% (action_mw) s
% (action_mw) s
betiltja a jogsértő IP-címet, és e-mailt küld a Whois jelentéssel. Ha a megfelelő naplókat be akarja adni az e-mailbe, állítsa a műveletet a következőre: % (action_mwl) s
.
Megváltoztathatja a küldő és fogadó e-mail címeket is:
/ etc / fail2ban / jail.helyidestemail = admin @ linuxize.com sender = root @ linuxize.com
Fail2ban börtönök #
A Fail2ban a börtönök fogalmát használja. A börtön leír egy szolgáltatást, szűrőket és műveleteket tartalmaz. A keresési mintának megfelelő naplóbejegyzéseket megszámoljuk, és amikor egy előre meghatározott feltétel teljesül, a megfelelő műveletek végrehajtásra kerülnek.
A Fail2ban számos börtönnel szállítja a különböző szolgáltatásokat. Saját börtönkonfigurációkat is létrehozhat. Alapértelmezés szerint csak az ssh börtön engedélyezett.
A börtön engedélyezéséhez hozzá kell adnia engedélyezve = igaz
a börtön címe után. A következő példa bemutatja, hogyan engedélyezhető a postfix börtön:
[postfix] engedélyezve = true port = smtp, ssmtp filter = postfix logpath = / var / log / mail.napló
Az előző szakaszban tárgyalt beállítások börtönenként állíthatók be. Íme egy példa:
/ etc / fail2ban / jail.helyi[sshd] engedélyezve = true maxretry = 3 keresési idő = 1d bantime = 4w ignoreip = 127.0.0.1/8 11.22.33.44
A szűrők a / etc / fail2ban / filter.d
könyvtár, a börtönével megegyező nevű fájlban tárolva. Ha rendelkezik egyéni beállításokkal és tapasztalattal rendelkezik a reguláris kifejezésekkel kapcsolatban, finomhangolhatja a szűrőket.
A konfigurációs fájl minden módosításakor a Fail2ban szolgáltatást újra kell indítani, hogy a módosítások életbe lépjenek:
sudo systemctl indítsa újra a fail2ban fájlt
Fail2ban kliens #
A Fail2ban egy megnevezett parancssori eszközzel szállít fail2ban-client
amellyel kölcsönhatásba léphet a Fail2ban szolgáltatással.
Az összes elérhető opció megtekintéséhez hívja meg a parancsot a -h
választási lehetőség:
fail2ban-client -h
Ez az eszköz felhasználható az IP-címek letiltására / letiltására, a beállítások megváltoztatására, a szolgáltatás újraindítására és egyebekre. Íme néhány példa:
Szerezze meg a szerver aktuális állapotát:
sudo fail2ban-kliens állapota
Ellenőrizze a börtön állapotát:
sudo fail2ban-kliens állapota sshd
IP letiltása:
sudo fail2ban-client set sshd unbanip 11.22.33.44
IP letiltása:
sudo fail2ban-client set sshd banip 11.22.33.44
Következtetés
Megmutattuk, hogyan kell telepíteni és konfigurálni a Fail2ban-t a Debian 10-en.
A témáról további információt a Fail2ban dokumentációjában talál .
Ha kérdése van, nyugodtan hagyjon megjegyzést alább.