Phenquestions
Всички сървъри, достъпни от Интернет, са изложени на риск от атаки на зловреден софтуер. Например, ако имате приложение, достъпно от публичната мрежа, нападателите могат да използват груба сила, за да получат достъп до приложението.
Fail2ban е инструмент, който помага да защитите вашата Linux машина от груба сила и други автоматизирани атаки, като наблюдава регистрационните файлове на услугите за злонамерена дейност. Той използва регулярни изрази за сканиране на регистрационни файлове. Всички записи, съответстващи на шаблоните, се броят и когато броят им достигне определен предварително зададен праг, Fail2ban забранява нарушаващия IP, използвайки системната защитна стена за определен период от време. Когато периодът на забрана изтече, IP адресът се премахва от списъка с забрани.
Тази статия обяснява как да инсталирате и конфигурирате Fail2ban на Debian 10.
Инсталиране на Fail2ban на Debian #
Пакетът Fail2ban е включен в хранилищата по подразбиране на Debian 10. За да го инсталирате, изпълнете следната команда като root или потребител със права на sudo:
sudo apt актуализацияsudo apt инсталирайте fail2ban
След като приключи, услугата Fail2ban ще стартира автоматично. Можете да го проверите, като проверите състоянието на услугата:
sudo systemctl статус fail2banРезултатът ще изглежда така:
● fail2ban.услуга - Fail2Ban Service Loaded: заредена (/ lib / systemd / system / fail2ban.обслужване; активиран; предварително зададен от доставчика: активиран) Активен: активен (работи) от сряда 2021-03-10 18:57:32 UTC; Преди 47 години .. Това е. В този момент на вашия сървър на Debian работи Fail2Ban.
Fail2ban конфигурация #
Инсталацията по подразбиране Fail2ban се предлага с два конфигурационни файла, / etc / fail2ban / jail.конф и / etc / fail2ban / jail.d / по подразбиране-debian.конф. Не трябва да модифицирате тези файлове, тъй като те могат да бъдат заменени, когато пакетът се актуализира.
Fail2ban чете конфигурационните файлове в следния ред. Всеки .местни файлът заменя настройките от .конф файл:
/ etc / fail2ban / jail.конф/ etc / fail2ban / jail.д/*.конф/ etc / fail2ban / jail.местни/ etc / fail2ban / jail.д/*.местни
Най-лесният начин да конфигурирате Fail2ban е да копирате затвор.конф да се затвор.местни и модифицирайте .местни файл. По-напредналите потребители могат да създадат .местни конфигурационен файл от нулата. The .местни файлът не трябва да включва всички настройки от съответния .конф файл, само тези, които искате да замените.
Създавам .местни конфигурационен файл, като копирате по подразбиране затвор.конф файл:
sudo cp / etc / fail2ban / jail.conf, местноЗа да започнете да конфигурирате сървъра Fail2ban отворен, затвор.местни файл с вашия текстов редактор:
sudo nano / etc / fail2ban / jail.местниФайлът включва коментари, описващи какво прави всяка опция за конфигуриране. В този пример ще променим основните настройки.
IP адреси в белия списък #
IP адресите, IP диапазоните или хостовете, които искате да изключите от забраната, могат да бъдат добавени към ignoreip директива. Тук трябва да добавите вашия локален IP адрес на компютъра и всички други машини, които искате да добавите в белия списък.
Разкоментирайте реда, започвайки с ignoreip и добавете своите IP адреси, разделени с интервал:
ignoreip = 127.0.0.1/8 :: 1 123.123.123.123 192.168.1.0/24 Настройки за забрана #
бантим, време за намиране, и maxretry опциите определят времето за забрана и условията за забрана.
бантим е продължителността, за която IP е забранен. Когато не е посочен суфикс, той по подразбиране е секунди. По подразбиране бантим стойност е зададена на 10 минути. Повечето потребители предпочитат да зададат по-дълго време за забрана. Променете стойността по ваш вкус:
bantime = 1d За да забраните за постоянно IP, използвайте отрицателно число.
време за намиране е продължителността между броя на неуспехите преди да бъде зададена забрана. Например, ако Fail2ban е настроен да забранява IP след пет неуспехи (maxretry, вижте по-долу), тези повреди трябва да възникнат в рамките на време за намиране продължителност.
findtime = 10m maxretry е броят на неуспехите преди IP да бъде забранен. Стойността по подразбиране е зададена на пет, което би трябвало да е добре за повечето потребители.
maxretry = 5 Известия по имейл #
Fail2ban може да изпраща предупреждения по имейл, когато IP е забранен. За да получавате имейли, трябва да имате инсталиран SMTP на вашия сървър и да промените действието по подразбиране, което забранява само IP да % (action_mw) s, както е показано по-долу:
действие =% (action_mw) s % (action_mw) s забранява нарушаващия IP адрес и изпраща имейл с Whois доклад. Ако искате да включите съответните регистрационни файлове в имейла, задайте действието на % (action_mwl) s.
Можете също да промените имейл адресите за изпращане и получаване:
/ etc / fail2ban / jail.местниdestemail = admin @ linuxize.com подател = корен @ linuxize.com Fail2ban Jails #
Fail2ban използва концепцията за затворите. Затвор описва услуга и включва филтри и действия. Вписванията в дневника, съответстващи на модела на търсене, се броят и когато е изпълнено предварително дефинирано условие, се изпълняват съответните действия.
Fail2ban кораби с редица затвор за различни услуги. Можете също така да създадете свои собствени конфигурации на затвора. По подразбиране е разрешен само ssh jail.
За да активирате затвор, трябва да добавите разрешено = вярно след затвора. Следващият пример показва как да активирате затвора за постфикс:
[postfix] активиран = true port = smtp, ssmtp filter = postfix logpath = / var / log / mail.дневник Настройките, които обсъдихме в предишния раздел, могат да бъдат зададени на затвор. Ето пример:
/ etc / fail2ban / jail.местни[sshd] активирано = true maxretry = 3 findtime = 1d bantime = 4w ignoreip = 127.0.0.1/8 11.22.33.44 Филтрите се намират в / etc / fail2ban / filter.д директория, съхранявана във файл със същото име като затвора. Ако имате персонализирана настройка и опит с регулярни изрази, можете да прецизирате филтрите.
Всеки път, когато конфигурационният файл се променя, услугата Fail2ban трябва да се рестартира, за да влязат в сила промените:
sudo systemctl рестартирайте fail2banКлиент на Fail2ban #
Fail2ban се доставя с инструмент за команден ред с име fail2ban-client които можете да използвате за взаимодействие с услугата Fail2ban.
За да видите всички налични опции, извикайте командата с -з опция:
fail2ban-client -hТози инструмент може да се използва за забрана / забрана на IP адреси, промяна на настройките, рестартиране на услугата и др. Ето няколко примера:
Получете текущото състояние на сървъра:
sudo fail2ban-клиентски статусПроверете състоянието на затвора:
sudo fail2ban-client status sshdОтмяна на забрана за IP:
sudo fail2ban-client set sshd unbanip 11.22.33.44Бан на IP:
sudo fail2ban-client set sshd banip 11.22.33.44
Заключение №
Показахме ви как да инсталирате и конфигурирате Fail2ban на Debian 10.
За повече информация по тази тема посетете документацията на Fail2ban .
Ако имате въпроси, не се колебайте да оставите коментар по-долу.
