Phenquestions
Az Internetről elérhető összes kiszolgálót rosszindulatú programok támadhatják meg. Például, ha van olyan alkalmazás, amely elérhető a nyilvános hálózatról, a támadók durva erővel próbálkozhatnak az alkalmazáshoz való hozzáféréssel.
A Fail2ban egy olyan eszköz, amely segít megvédeni Linux gépét a durva erőtől és más automatizált támadásoktól azáltal, hogy figyeli a szolgáltatásnaplókat rosszindulatú tevékenységek ellen. Rendszeres kifejezéseket használ a naplófájlok beolvasásához. Az összes mintának megfelelő bejegyzés megszámlálásra kerül, és amikor a számuk eléri az előre meghatározott küszöbértéket, a Fail2ban a rendszer tűzfala segítségével egy meghatározott ideig tiltja a sértő IP-t. Amikor a tiltási időszak lejár, az IP-cím törlődik a tiltási listáról.
Ez a cikk elmagyarázza a Fail2ban telepítését és konfigurálását a Debian 10-en.
A Fail2ban telepítése a Debianra #
A Fail2ban csomag az alapértelmezett Debian 10 adattárakban található. Telepítéséhez futtassa a következő parancsot root vagy felhasználóként sudo jogosultságokkal:
sudo apt frissítéssudo apt install fail2ban
Miután elkészült, a Fail2ban szolgáltatás automatikusan elindul. A szolgáltatás állapotának ellenőrzésével ellenőrizheti:
sudo systemctl állapot fail2banA kimenet a következőképpen fog kinézni:
● fail2ban.szolgáltatás - Fail2Ban Szolgáltatás betöltve: betöltve (/ lib / systemd / system / fail2ban.szolgáltatás; engedélyezve; gyártói előre beállított: engedélyezve) Aktív: aktív (fut) 2021-03-10, 18:57:32 UTC óta; 47 évvel ezelőtt… Ez az. Ezen a ponton a Fail2Ban fut a Debian szerveren.
Fail2ban konfiguráció #
Az alapértelmezett Fail2ban telepítés két konfigurációs fájlt tartalmaz, / etc / fail2ban / jail.konf és / etc / fail2ban / jail.d / defaults-debian.konf. Nem szabad módosítania ezeket a fájlokat, mivel a csomag frissítésekor felülíródhatnak.
A Fail2ban a következő sorrendben olvassa el a konfigurációs fájlokat. Minden egyes .helyi fájl felülírja a beállításokat a .konf fájl:
/ etc / fail2ban / jail.konf/ etc / fail2ban / jail.d / *.konf/ etc / fail2ban / jail.helyi/ etc / fail2ban / jail.d / *.helyi
A Fail2ban konfigurálásának legegyszerűbb módja a fájl másolása börtön.konf nak nek börtön.helyi és módosítsa a .helyi fájl. Haladóbb felhasználók építhetnek a .helyi konfigurációs fájl a semmiből. A .helyi a fájlnak nem kell tartalmaznia a megfelelő beállításokat .konf fájl, csak azokat, akiket felül akar írni.
Hozzon létre egy .helyi konfigurációs fájl az alapértelmezett másolásával börtön.konf fájl:
sudo cp / etc / fail2ban / jail.conf, helyiA Fail2ban kiszolgáló konfigurálásának megkezdéséhez nyissa meg a börtön.helyi fájl a szövegszerkesztővel:
sudo nano / etc / fail2ban / jail.helyiA fájl megjegyzéseket tartalmaz, amelyek leírják az egyes konfigurációs lehetőségek működését. Ebben a példában megváltoztatjuk az alapbeállításokat.
IP-címek engedélyezőlistájába sorolása #
Azok a IP-címek, IP-tartományok vagy gazdagépek, amelyeket ki akar zárni a tiltás alól, hozzáadhatók a ignoreip irányelv. Itt kell hozzáadnia a helyi PC IP-címét és az összes többi gépet, amelyet engedélyezőlistára szeretne tenni.
Kommenteld a kezdő sort ignoreip és adja hozzá IP-címeit szóközzel elválasztva:
ignoreip = 127.0.0.1/8 :: 1 123.123.123.123 192.168.1.0/24 Beállítások kitiltása #
bantime, találási idő, és maxretry az opciók meghatározzák a tiltási időt és a tiltási feltételeket.
bantime az az időtartam, amelyre az IP tiltva van. Ha nincs megadva utótag, akkor az alapértelmezés szerint másodperc. Alapértelmezés szerint a bantime értéke 10 perc. A legtöbb felhasználó inkább hosszabb tiltási időt állít be. Változtassa meg az értéket tetszése szerint:
bantime = 1d Az IP végleges letiltásához használjon negatív számot.
találási idő a tiltások meghatározása előtti hibák száma közötti időtartam. Például, ha a Fail2ban úgy van beállítva, hogy öt hiba után tiltja az IP-t (maxretry, lásd alább), ezeknek a hibáknak a találási idő időtartamát.
találási idő = 10m maxretry az IP-betiltás előtti hibák száma. Az alapértelmezett érték öt, ami a legtöbb felhasználó számára megfelelő.
maxretry = 5 Email Értesítések #
A Fail2ban e-mail értesítéseket küldhet, ha egy IP-t betiltottak. E-mailek fogadásához telepítenie kell egy SMTP-t a szerverre, és módosítania kell az alapértelmezett műveletet, amely csak az % (action_mw) s, az alábbiak szerint:
művelet =% (action_mw) s % (action_mw) s betiltja a jogsértő IP-címet, és e-mailt küld a Whois jelentéssel. Ha a megfelelő naplókat be akarja adni az e-mailbe, állítsa a műveletet a következőre: % (action_mwl) s.
Megváltoztathatja a küldő és fogadó e-mail címeket is:
/ etc / fail2ban / jail.helyidestemail = admin @ linuxize.com sender = root @ linuxize.com Fail2ban börtönök #
A Fail2ban a börtönök fogalmát használja. A börtön leír egy szolgáltatást, szűrőket és műveleteket tartalmaz. A keresési mintának megfelelő naplóbejegyzéseket megszámoljuk, és amikor egy előre meghatározott feltétel teljesül, a megfelelő műveletek végrehajtásra kerülnek.
A Fail2ban számos börtönnel szállítja a különböző szolgáltatásokat. Saját börtönkonfigurációkat is létrehozhat. Alapértelmezés szerint csak az ssh börtön engedélyezett.
A börtön engedélyezéséhez hozzá kell adnia engedélyezve = igaz a börtön címe után. A következő példa bemutatja, hogyan engedélyezhető a postfix börtön:
[postfix] engedélyezve = true port = smtp, ssmtp filter = postfix logpath = / var / log / mail.napló Az előző szakaszban tárgyalt beállítások börtönenként állíthatók be. Íme egy példa:
/ etc / fail2ban / jail.helyi[sshd] engedélyezve = true maxretry = 3 keresési idő = 1d bantime = 4w ignoreip = 127.0.0.1/8 11.22.33.44 A szűrők a / etc / fail2ban / filter.d könyvtár, a börtönével megegyező nevű fájlban tárolva. Ha rendelkezik egyéni beállításokkal és tapasztalattal rendelkezik a reguláris kifejezésekkel kapcsolatban, finomhangolhatja a szűrőket.
A konfigurációs fájl minden módosításakor a Fail2ban szolgáltatást újra kell indítani, hogy a módosítások életbe lépjenek:
sudo systemctl indítsa újra a fail2ban fájltFail2ban kliens #
A Fail2ban egy megnevezett parancssori eszközzel szállít fail2ban-client amellyel kölcsönhatásba léphet a Fail2ban szolgáltatással.
Az összes elérhető opció megtekintéséhez hívja meg a parancsot a -h választási lehetőség:
fail2ban-client -hEz az eszköz felhasználható az IP-címek letiltására / letiltására, a beállítások megváltoztatására, a szolgáltatás újraindítására és egyebekre. Íme néhány példa:
Szerezze meg a szerver aktuális állapotát:
sudo fail2ban-kliens állapotaEllenőrizze a börtön állapotát:
sudo fail2ban-kliens állapota sshdIP letiltása:
sudo fail2ban-client set sshd unbanip 11.22.33.44IP letiltása:
sudo fail2ban-client set sshd banip 11.22.33.44
Következtetés
Megmutattuk, hogyan kell telepíteni és konfigurálni a Fail2ban-t a Debian 10-en.
A témáról további információt a Fail2ban dokumentációjában talál .
Ha kérdése van, nyugodtan hagyjon megjegyzést alább.
