Drošība

Kā iestatīt IPS (Fail2ban), lai aizsargātu pret dažādiem uzbrukumiem

Kā iestatīt IPS (Fail2ban), lai aizsargātu pret dažādiem uzbrukumiem

IPS jeb Ielaušanās novēršanas sistēma ir tehnoloģija, ko tīkla drošībā izmanto, lai pārbaudītu tīkla trafiku un novērstu dažādus uzbrukumus, atklājot ļaunprātīgas ieejas. Papildus tikai ļaunprātīgu ievadu atklāšanai, kā to dara Ielaušanās atklāšanas sistēma, tas arī novērš tīklu no ļaunprātīgiem uzbrukumiem. Tas var novērst tīkla brutālu spēku, DoS (pakalpojuma atteikums), DDoS (izplatīts pakalpojuma atteikums), izmantošanu, tārpus, vīrusus un citus izplatītus uzbrukumus. IPS tiek novietoti tieši aiz ugunsmūra, un tie var nosūtīt trauksmes signālus, nomest ļaunprātīgas paketes un bloķēt pārkāpošās IP adreses. Šajā apmācībā mēs izmantosim Fail2ban, kas ir ielaušanās novēršanas programmatūras pakotne, lai pievienotu drošības slāni pret dažādiem brutālu spēku uzbrukumiem.

Kā darbojas Fail2ban

Fail2ban nolasa žurnāla failus (piemēram,.g. / var / log / apache / error_log) un iegūst pārkāpējus IP, kas mēģina pārāk daudz neizdevušās paroles vai meklē izmantošanas iespējas. Būtībā Fail2ban atjaunina ugunsmūra noteikumus, lai bloķētu dažādus IP serverī. Fail2ban nodrošina arī filtrus, kurus mēs varam izmantot konkrētam pakalpojumam (piemēram,.g., apache, ssh utt.).

Fail2ban instalēšana

Fail2ban nav iepriekš instalēts Ubuntu, tāpēc pirms tā izmantošanas mums tas ir jāinstalē.

[e-pasts aizsargāts]: ~ $ sudo apt-get update -y
[aizsargāts pa e-pastu]: ~ $ sudo apt-get install fail2ban

Pēc Fail2ban instalēšanas sāciet un iespējojiet Fail2ban pakalpojumu, izmantojot komandrindu.

[aizsargāts pa e-pastu]: ~ $ sudo systemctl start fail2ban
[e-pasts aizsargāts]: ~ $ sudo systemctl iespējot fail2ban


Tagad pārbaudiet pakalpojuma fail2ban statusu, lai apstiprinātu, vai tas sākās vai nē.

[aizsargāts ar e-pastu]: ~ $ sudo systemctl statuss fail2ban

Fail2ban konfigurēšana SSH

Mēs varam konfigurēt Fail2ban, modificējot / etc / fail2ban / jail.conf fails. Pirms tā modificēšanas veiciet šī faila dublējumu.

[e-pasts aizsargāts]: ~ $ sudo cp / etc / fail2ban / jail.conf / etc / fail2ban / jail.vietējais

Tagad mēs konfigurēsim Fail2ban, lai novērstu sshd pakalpojumu no ļaunprātīgām ieejām. Atveriet / etc / fail2ban / jail.vietējais fails jūsu iecienītākajā redaktorā.

[e-pasts aizsargāts]: ~ $ sudo nano / etc / fail2ban / jail.vietējais

Dodieties uznoklusējums] sadaļā un sadaļā [ievadiet konfigurācijas parametrusnoklusējums] sadaļā.

[PAMATOJUMS]
ignoreip = 127.0.0.1/8 192.168. lpp.18.10/32
bantime = 300
maksimālais mēģinājums = 2
atrasts laiks = 600

ignorēt ir cidr maskas, ip adreses vai DNS resursdatora saraksts, atdalīts ar atstarpes rakstzīmi. Pievienojiet šim sarakstam uzticamos IP, un šie IP tiks iekļauti baltajā sarakstā, un fail2ban nebloķēs tos pat tad, ja tie serverī veic brutālu spēku uzbrukumu.

bantime ir laiks, kad IP tiks bloķēts pēc noteikta neveiksmīgu mēģinājumu veikšanas serverī.

maxretry ir to maksimāli neizdevušos mēģinājumu skaits, pēc kuriem fail2ban bloķē IP uz noteiktu laiku.

atrast laiku ir laiks, kurā saimnieks veic maxretry neveiksmīgi mēģinājumi, tas tiks bloķēts.

Pēc iepriekš minēto parametru konfigurēšanas tagad mēs konfigurēsim pakalpojumu, uz kuru tiks piemēroti iepriekš minētie noteikumi. Pēc noklusējuma Fail2ban ir iepriekš noteikti filtri dažādiem pakalpojumiem, tāpēc mums nav jāievada īpaši pakalpojumi. Konfigurācijas failā mēs iespējot vai atspējot tikai dažādus pakalpojumus. Atveriet / etc / fail2ban / jail.vietējais fails jūsu iecienītākajā redaktorā.

[aizsargāts pa e-pastu]: ~ $ sudo nano / etc / fail2ban / jail.vietējais

Atrodi [sshd] sadaļu failā un sadaļā ievadiet šādus parametrus.

[sshd]
iespējot = taisnība
osta = ssh
filtrs = sshd
logpath = / var / log / auth.žurnāls
maksimālais mēģinājums = 3

iespējots nosaka, vai šo pakalpojumu aizsargā fail2ban vai nē. Ja iespējota ir taisnība, pakalpojums tiek aizsargāts; pretējā gadījumā tas netiek aizsargāts.

osta nosaka servisa ostu.

filtru attiecas uz konfigurācijas failu fail2ban, kuru izmantos. Pēc noklusējuma tas izmantos / etc / fail2ban / filter.d / sshd.conf fails ssh pakalpojumam.

žurnāla ceļš nosaka ceļu uz žurnāliem, fail2ban uzraudzīs, lai pasargātu pakalpojumu no dažādiem uzbrukumiem. Ssh pakalpojuma autentifikācijas žurnālus var atrast vietnē / var / log / auth.žurnāls, tāpēc fail2ban uzraudzīs šo žurnāla failu un atjauninās ugunsmūri, atklājot neveiksmīgus pieteikšanās mēģinājumus.

maxretry nosaka neizdevušos pieteikšanās mēģinājumu skaitu, pirms tos bloķē fail2ban.

Pēc iepriekš minētās fail2ban konfigurācijas piemērošanas restartējiet pakalpojumu, lai saglabātu izmaiņas.

[aizsargāts pa e-pastu]: ~ $ sudo systemctl restartējiet fail2ban.apkalpošana
[aizsargāts ar e-pastu]: ~ $ sudo systemctl statuss fail2ban.apkalpošana

Notiek fail2ban pārbaude

Mēs esam konfigurējuši fail2ban, lai aizsargātu mūsu sistēmu pret brutālu spēku uzbrukumiem ssh pakalpojumam. Tagad mēs neveiksmīgi mēģināsim pieteikties savā sistēmā no citas sistēmas, lai pārbaudītu, vai fail2ban darbojas vai nē. Pēc dažu neveiksmīgu pieteikšanās mēģinājumu veikšanas mēs pārbaudīsim fail2ban žurnālus.

[aizsargāts ar e-pastu]: ~ $ cat / var / log / fail2ban.žurnāls

Mēs varam redzēt, ka pēc neveiksmīgiem pieteikšanās mēģinājumiem IP ir bloķējis fail2ban.

Izmantojot šo komandu, mēs varam iegūt visu pakalpojumu sarakstu, kuriem ir iespējots fail2ban.

[e-pasts aizsargāts]: ~ $ sudo fail2ban-klienta statuss


Iepriekš redzamais attēls parāda, ka fail2ban esam iespējojuši tikai sshd pakalpojumam. Papildinformāciju par sshd pakalpojumu mēs varam iegūt, norādot servisa nosaukumu iepriekš minētajā komandā.

[aizsargāts ar e-pastu]: ~ $ sudo fail2ban-klienta statuss sshd

Fail2ban automātiski atceļ aizliegto IP adresi pēc bantime, bet mēs varam jebkurā laikā atcelt jebkuru IP, izmantojot komandrindu. Tas ļaus vairāk kontrolēt fail2ban. Izmantojiet šo komandu, lai atceltu IP adreses bloķēšanu.

[aizsargāts ar e-pastu]: ~ $ sudo fail2ban-client set sshd unbanip 192.168. lpp.43.35

Ja mēģināt atcelt IP adresi, kuru nav bloķējis fail2ban, tas vienkārši pateiks, ka IP nav bloķēts.

[aizsargāts ar e-pastu]: ~ $ sudo fail2ban-client set sshd unbanip 192.168. lpp.43.35

Secinājums

Sistēmas administratoram vai drošības inženierim ir liels izaicinājums uzturēt serveru drošību. Ja jūsu serveris ir aizsargāts ar paroli, nevis ar publisko un privāto atslēgu pāri, tad jūsu serveris ir neaizsargātāks pret brutālu spēku uzbrucējiem. Viņi var iekļūt jūsu sistēmā, izmantojot dažādas paroļu kombinācijas. Fail2ban ir rīks, kas var ierobežot uzbrucējus sākt dažāda veida uzbrukumus, ieskaitot brutālu spēku uzbrukumus un DDoS uzbrukumus jūsu serverim. Šajā apmācībā mēs apspriedām, kā mēs varētu izmantot Fail2ban, lai aizsargātu mūsu serveri no dažādiem uzbrukumiem. Mēs varam arī izmantot Fail2ban, lai aizsargātu citus pakalpojumus, piemēram, apache, nginx utt.

Pele Peles kreisā klikšķa poga nedarbojas operētājsistēmā Windows 10
Peles kreisā klikšķa poga nedarbojas operētājsistēmā Windows 10
Ja ar klēpjdatoru vai galddatoru izmantojat īpašu peli, bet nedarbojas peles kreisās klikšķa poga kādu iemeslu dēļ operētājsistēmā Windows 10/8/7 šeit...
Pele Rakstot Windows 10, kursors lec vai pārvietojas nejauši
Rakstot Windows 10, kursors lec vai pārvietojas nejauši
Ja atklājat, ka peles kursors automātiski, nejauši lec vai pārvietojas pats, rakstot Windows klēpjdatorā vai datorā, daži no šiem ieteikumiem var palī...
Pele Kā mainīt peles un skārienpaliktņu ritināšanas virzienu operētājsistēmā Windows 10
Kā mainīt peles un skārienpaliktņu ritināšanas virzienu operētājsistēmā Windows 10
Pele un SkārienpaliktnisTas ne tikai padara skaitļošanu vienkāršu, bet arī efektīvāku un mazāk laikietilpīgu. Mēs nevaram iedomāties dzīvi bez šīm ier...