Visiem serveriem, kuriem var piekļūt no interneta, draud ļaunprātīgas programmatūras uzbrukumi. Piemēram, ja jums ir lietojumprogramma, kurai var piekļūt no publiskā tīkla, uzbrucēji var izmantot brutālu spēku mēģinājumus piekļūt lietojumprogrammai.
Fail2ban ir rīks, kas palīdz aizsargāt jūsu Linux mašīnu no rupjiem spēkiem un citiem automatizētiem uzbrukumiem, uzraugot pakalpojumu žurnālus par ļaunprātīgām darbībām. Tā izmanto regulāras izteiksmes, lai skenētu žurnālfailus. Visi ieraksti, kas atbilst modeļiem, tiek skaitīti, un, kad to skaits sasniedz noteiktu iepriekš noteiktu slieksni, Fail2ban aizliedz pārkāpēju IP, izmantojot sistēmas ugunsmūri, noteiktu laiku. Kad beidzas aizlieguma periods, IP adrese tiek noņemta no aizliegumu saraksta.
Šajā rakstā ir paskaidrots, kā Debian 10 instalēt un konfigurēt Fail2ban.
Fail2ban instalēšana Debian #
Fail2ban pakete ir iekļauta noklusējuma Debian 10 krātuvēs. Lai to instalētu, palaidiet šādu komandu kā root vai lietotāju ar sudo privilēģijām:
sudo apt atjauninājums
sudo apt instalēt fail2ban
Pēc pabeigšanas pakalpojums Fail2ban tiks palaists automātiski. To var pārbaudīt, pārbaudot pakalpojuma statusu:
sudo systemctl statuss fail2ban
Rezultāts izskatīsies šādi:
● fail2ban.pakalpojums - Fail2Ban Pakalpojums ielādēts: ielādēts (/ lib / systemd / system / fail2ban.apkalpošana; iespējots; pārdevēja sākotnējais iestatījums: iespējots) Aktīvs: aktīvs (darbojas) kopš 2021-03-10 plkst. 18:57:32 UTC; Pirms 47 gadiem…
Tieši tā. Šajā brīdī Debian serverī darbojas Fail2Ban.
Fail2ban konfigurācijas Nr
Fail2ban noklusējuma instalācijai ir divi konfigurācijas faili, / etc / fail2ban / jail.konf
un / etc / fail2ban / jail.d / defaults-debian.konf
. Jums nevajadzētu modificēt šos failus, jo, atjauninot pakotni, tie var tikt pārrakstīti.
Fail2ban nolasa konfigurācijas failus šādā secībā. Katrs .vietējais
fails ignorē iestatījumus no .konf
fails:
/ etc / fail2ban / jail.konf
/ etc / fail2ban / jail.d / *.konf
/ etc / fail2ban / jail.vietējais
/ etc / fail2ban / jail.d / *.vietējais
Vieglākais veids, kā konfigurēt Fail2ban, ir nokopēt cietums.konf
uz cietums.vietējais
un modificēt .vietējais
failu. Progresīvāki lietotāji var izveidot .vietējais
konfigurācijas fails no nulles. The .vietējais
failā nav jāiekļauj visi atbilstošā iestatījumi .konf
failu, tikai tie, kurus vēlaties ignorēt.
Izveidojiet a .vietējais
konfigurācijas failu, nokopējot noklusējumu cietums.konf
fails:
sudo cp / etc / fail2ban / jail.conf, vietējais
Lai sāktu konfigurēt atvērto Fail2ban serveri, cietums.vietējais
failu ar teksta redaktoru:
sudo nano / etc / fail2ban / jail.vietējais
Failā ir komentāri, kas apraksta katras konfigurācijas opcijas darbību. Šajā piemērā mēs mainīsim pamata iestatījumus.
IP adrešu iekļaušana baltajā sarakstā #
IP adreses, IP diapazonus vai resursdatorus, kurus vēlaties izslēgt no aizliegšanas, var pievienot ignorēt
direktīvu. Šeit jums jāpievieno vietējā datora IP adrese un visas citas iekārtas, kuras vēlaties iekļaut baltajā sarakstā.
Nekomentējiet rindu, kas sākas ar ignorēt
un pievienojiet savas IP adreses atdalītas ar atstarpi:
ignoreip = 127.0.0.1/8 :: 1 123.123. lpp.123. lpp.123 192.168. lpp.1.0/24
Aizliegt iestatījumus #
bantime
, atrast laiku
, un maxretry
opcijas nosaka aizlieguma laiku un aizlieguma nosacījumus.
bantime
ir ilgums, uz kuru IP ir aizliegts. Ja sufikss nav norādīts, tas pēc noklusējuma ir sekundes. Pēc noklusējuma bantime
vērtība ir iestatīta uz 10 minūtēm. Lielākā daļa lietotāju izvēlas iestatīt ilgāku aizlieguma laiku. Mainiet vērtību pēc savas gaumes:
bantime = 1d
Lai neatgriezeniski aizliegtu IP, izmantojiet negatīvu skaitli.
atrast laiku
ir ilgums starp kļūmju skaitu pirms aizlieguma noteikšanas. Piemēram, ja Fail2ban ir iestatīts aizliegt IP pēc piecām kļūmēm (maxretry
, skatīt zemāk), šīm kļūmēm ir jānotiek atrast laiku
ilgums.
atraduma laiks = 10m
maxretry
ir kļūmju skaits pirms IP aizliegšanas. Noklusējuma vērtība ir iestatīta uz piecām, ar ko lielākajai daļai lietotāju vajadzētu būt labi.
maksimālais mēģinājums = 5
E-pasta paziņojumi #
Fail2ban var nosūtīt brīdinājumus pa e-pastu, ja IP ir aizliegts. Lai saņemtu e-pastus, serverī jābūt instalētam SMTP un jāmaina noklusējuma darbība, kas tikai aizliedz IP uz % (action_mw) s
, kā parādīts zemāk:
darbība =% (action_mw) s
% (action_mw) s
aizliedz pārkāpēju IP un nosūta e-pastu ar Whois ziņojumu. Ja e-pastā vēlaties iekļaut attiecīgos žurnālus, iestatiet darbību uz % (action_mwl) s
.
Varat arī mainīt sūtīšanas un saņemšanas e-pasta adreses:
/ etc / fail2ban / jail.vietējaisdestemail = admin @ linuxize.com sūtītājs = root @ linuxize.com
Fail2ban cietumi #
Fail2ban izmanto cietumu jēdzienu. Ieslodzījuma vieta apraksta pakalpojumu un ietver filtrus un darbības. Tiek skaitīti žurnāla ieraksti, kas atbilst meklēšanas modelim, un, ja ir izpildīts iepriekš noteikts nosacījums, tiek veiktas attiecīgās darbības.
Fail2ban kuģi ar vairākiem cietumiem dažādiem pakalpojumiem. Varat arī izveidot savas cietuma konfigurācijas. Pēc noklusējuma ir iespējota tikai ssh cietums.
Lai iespējotu cietumu, jums tas jāpievieno iespējots = patiess
pēc cietuma nosaukuma. Šis piemērs parāda, kā iespējot postfix cietumu:
[postfix] iespējots = true port = smtp, ssmtp filtrs = postfix logpath = / var / log / mail.žurnāls
Iestatījumus, par kuriem mēs runājām iepriekšējā sadaļā, var iestatīt vienā cietumā. Šeit ir piemērs:
/ etc / fail2ban / jail.vietējais[sshd] iespējots = true maxretry = 3 meklēšanas laiks = 1 bantime = 4w ignoreip = 127.0.0.1/8 11.22.33.44
Filtri atrodas / etc / fail2ban / filter.d
direktorijā, kas saglabāts failā ar tādu pašu nosaukumu kā cietums. Ja jums ir pielāgota iestatīšana un pieredze ar regulārajām izteiksmēm, varat precīzi pielāgot filtrus.
Katru reizi, kad tiek mainīts konfigurācijas fails, pakalpojums Fail2ban ir jārestartē, lai izmaiņas stātos spēkā:
sudo systemctl restartējiet fail2ban
Fail2ban klienta numurs
Fail2ban tiek piegādāts ar komandrindas rīku ar nosaukumu fail2ban-client
kuru varat izmantot, lai mijiedarbotos ar pakalpojumu Fail2ban.
Lai skatītu visas pieejamās opcijas, izsauciet komandu ar -h
iespēja:
fail2ban-client -h
Šo rīku var izmantot, lai aizliegtu / atceltu IP adreses, mainītu iestatījumus, restartētu pakalpojumu un daudz ko citu. Šeit ir daži piemēri:
Iegūstiet servera pašreizējo statusu:
sudo fail2ban-klienta statuss
Pārbaudiet cietuma statusu:
sudo fail2ban-klienta statuss sshd
IP atcelšana:
sudo fail2ban-klienta komplekts sshd unbanip 11.22.33.44
IP aizliegšana:
sudo fail2ban-klienta komplekts sshd banip 11.22.33.44
Secinājums Nr
Mēs esam parādījuši, kā Debian 10 instalēt un konfigurēt Fail2ban.
Lai iegūtu papildinformāciju par šo tēmu, apmeklējiet Fail2ban dokumentāciju .
Ja jums ir jautājumi, nekautrējieties atstāt komentāru zemāk.