Phenquestions
Visiem serveriem, kuriem var piekļūt no interneta, draud ļaunprātīgas programmatūras uzbrukumi. Piemēram, ja jums ir lietojumprogramma, kurai var piekļūt no publiskā tīkla, uzbrucēji var izmantot brutālu spēku mēģinājumus piekļūt lietojumprogrammai.
Fail2ban ir rīks, kas palīdz aizsargāt jūsu Linux mašīnu no rupjiem spēkiem un citiem automatizētiem uzbrukumiem, uzraugot pakalpojumu žurnālus par ļaunprātīgām darbībām. Tā izmanto regulāras izteiksmes, lai skenētu žurnālfailus. Visi ieraksti, kas atbilst modeļiem, tiek skaitīti, un, kad to skaits sasniedz noteiktu iepriekš noteiktu slieksni, Fail2ban aizliedz pārkāpēju IP, izmantojot sistēmas ugunsmūri, noteiktu laiku. Kad beidzas aizlieguma periods, IP adrese tiek noņemta no aizliegumu saraksta.
Šajā rakstā ir paskaidrots, kā Debian 10 instalēt un konfigurēt Fail2ban.
Fail2ban instalēšana Debian #
Fail2ban pakete ir iekļauta noklusējuma Debian 10 krātuvēs. Lai to instalētu, palaidiet šādu komandu kā root vai lietotāju ar sudo privilēģijām:
sudo apt atjauninājumssudo apt instalēt fail2ban
Pēc pabeigšanas pakalpojums Fail2ban tiks palaists automātiski. To var pārbaudīt, pārbaudot pakalpojuma statusu:
sudo systemctl statuss fail2banRezultāts izskatīsies šādi:
● fail2ban.pakalpojums - Fail2Ban Pakalpojums ielādēts: ielādēts (/ lib / systemd / system / fail2ban.apkalpošana; iespējots; pārdevēja sākotnējais iestatījums: iespējots) Aktīvs: aktīvs (darbojas) kopš 2021-03-10 plkst. 18:57:32 UTC; Pirms 47 gadiem… Tieši tā. Šajā brīdī Debian serverī darbojas Fail2Ban.
Fail2ban konfigurācijas Nr
Fail2ban noklusējuma instalācijai ir divi konfigurācijas faili, / etc / fail2ban / jail.konf un / etc / fail2ban / jail.d / defaults-debian.konf. Jums nevajadzētu modificēt šos failus, jo, atjauninot pakotni, tie var tikt pārrakstīti.
Fail2ban nolasa konfigurācijas failus šādā secībā. Katrs .vietējais fails ignorē iestatījumus no .konf fails:
/ etc / fail2ban / jail.konf/ etc / fail2ban / jail.d / *.konf/ etc / fail2ban / jail.vietējais/ etc / fail2ban / jail.d / *.vietējais
Vieglākais veids, kā konfigurēt Fail2ban, ir nokopēt cietums.konf uz cietums.vietējais un modificēt .vietējais failu. Progresīvāki lietotāji var izveidot .vietējais konfigurācijas fails no nulles. The .vietējais failā nav jāiekļauj visi atbilstošā iestatījumi .konf failu, tikai tie, kurus vēlaties ignorēt.
Izveidojiet a .vietējais konfigurācijas failu, nokopējot noklusējumu cietums.konf fails:
sudo cp / etc / fail2ban / jail.conf, vietējaisLai sāktu konfigurēt atvērto Fail2ban serveri, cietums.vietējais failu ar teksta redaktoru:
sudo nano / etc / fail2ban / jail.vietējaisFailā ir komentāri, kas apraksta katras konfigurācijas opcijas darbību. Šajā piemērā mēs mainīsim pamata iestatījumus.
IP adrešu iekļaušana baltajā sarakstā #
IP adreses, IP diapazonus vai resursdatorus, kurus vēlaties izslēgt no aizliegšanas, var pievienot ignorēt direktīvu. Šeit jums jāpievieno vietējā datora IP adrese un visas citas iekārtas, kuras vēlaties iekļaut baltajā sarakstā.
Nekomentējiet rindu, kas sākas ar ignorēt un pievienojiet savas IP adreses atdalītas ar atstarpi:
ignoreip = 127.0.0.1/8 :: 1 123.123. lpp.123. lpp.123 192.168. lpp.1.0/24 Aizliegt iestatījumus #
bantime, atrast laiku, un maxretry opcijas nosaka aizlieguma laiku un aizlieguma nosacījumus.
bantime ir ilgums, uz kuru IP ir aizliegts. Ja sufikss nav norādīts, tas pēc noklusējuma ir sekundes. Pēc noklusējuma bantime vērtība ir iestatīta uz 10 minūtēm. Lielākā daļa lietotāju izvēlas iestatīt ilgāku aizlieguma laiku. Mainiet vērtību pēc savas gaumes:
bantime = 1d Lai neatgriezeniski aizliegtu IP, izmantojiet negatīvu skaitli.
atrast laiku ir ilgums starp kļūmju skaitu pirms aizlieguma noteikšanas. Piemēram, ja Fail2ban ir iestatīts aizliegt IP pēc piecām kļūmēm (maxretry, skatīt zemāk), šīm kļūmēm ir jānotiek atrast laiku ilgums.
atraduma laiks = 10m maxretry ir kļūmju skaits pirms IP aizliegšanas. Noklusējuma vērtība ir iestatīta uz piecām, ar ko lielākajai daļai lietotāju vajadzētu būt labi.
maksimālais mēģinājums = 5 E-pasta paziņojumi #
Fail2ban var nosūtīt brīdinājumus pa e-pastu, ja IP ir aizliegts. Lai saņemtu e-pastus, serverī jābūt instalētam SMTP un jāmaina noklusējuma darbība, kas tikai aizliedz IP uz % (action_mw) s, kā parādīts zemāk:
darbība =% (action_mw) s % (action_mw) s aizliedz pārkāpēju IP un nosūta e-pastu ar Whois ziņojumu. Ja e-pastā vēlaties iekļaut attiecīgos žurnālus, iestatiet darbību uz % (action_mwl) s.
Varat arī mainīt sūtīšanas un saņemšanas e-pasta adreses:
/ etc / fail2ban / jail.vietējaisdestemail = admin @ linuxize.com sūtītājs = root @ linuxize.com Fail2ban cietumi #
Fail2ban izmanto cietumu jēdzienu. Ieslodzījuma vieta apraksta pakalpojumu un ietver filtrus un darbības. Tiek skaitīti žurnāla ieraksti, kas atbilst meklēšanas modelim, un, ja ir izpildīts iepriekš noteikts nosacījums, tiek veiktas attiecīgās darbības.
Fail2ban kuģi ar vairākiem cietumiem dažādiem pakalpojumiem. Varat arī izveidot savas cietuma konfigurācijas. Pēc noklusējuma ir iespējota tikai ssh cietums.
Lai iespējotu cietumu, jums tas jāpievieno iespējots = patiess pēc cietuma nosaukuma. Šis piemērs parāda, kā iespējot postfix cietumu:
[postfix] iespējots = true port = smtp, ssmtp filtrs = postfix logpath = / var / log / mail.žurnāls Iestatījumus, par kuriem mēs runājām iepriekšējā sadaļā, var iestatīt vienā cietumā. Šeit ir piemērs:
/ etc / fail2ban / jail.vietējais[sshd] iespējots = true maxretry = 3 meklēšanas laiks = 1 bantime = 4w ignoreip = 127.0.0.1/8 11.22.33.44 Filtri atrodas / etc / fail2ban / filter.d direktorijā, kas saglabāts failā ar tādu pašu nosaukumu kā cietums. Ja jums ir pielāgota iestatīšana un pieredze ar regulārajām izteiksmēm, varat precīzi pielāgot filtrus.
Katru reizi, kad tiek mainīts konfigurācijas fails, pakalpojums Fail2ban ir jārestartē, lai izmaiņas stātos spēkā:
sudo systemctl restartējiet fail2banFail2ban klienta numurs
Fail2ban tiek piegādāts ar komandrindas rīku ar nosaukumu fail2ban-client kuru varat izmantot, lai mijiedarbotos ar pakalpojumu Fail2ban.
Lai skatītu visas pieejamās opcijas, izsauciet komandu ar -h iespēja:
fail2ban-client -hŠo rīku var izmantot, lai aizliegtu / atceltu IP adreses, mainītu iestatījumus, restartētu pakalpojumu un daudz ko citu. Šeit ir daži piemēri:
Iegūstiet servera pašreizējo statusu:
sudo fail2ban-klienta statussPārbaudiet cietuma statusu:
sudo fail2ban-klienta statuss sshdIP atcelšana:
sudo fail2ban-klienta komplekts sshd unbanip 11.22.33.44IP aizliegšana:
sudo fail2ban-klienta komplekts sshd banip 11.22.33.44
Secinājums Nr
Mēs esam parādījuši, kā Debian 10 instalēt un konfigurēt Fail2ban.
Lai iegūtu papildinformāciju par šo tēmu, apmeklējiet Fail2ban dokumentāciju .
Ja jums ir jautājumi, nekautrējieties atstāt komentāru zemāk.
