Phenquestions
Kõiki Interneti kaudu juurdepääsetavaid servereid ähvardab pahavara rünnak. Näiteks kui teil on avalikust võrgust juurdepääsetav rakendus, saavad ründajad rakendusele juurde pääsemiseks kasutada jõhkraid katseid.
Fail2ban on tööriist, mis aitab kaitsta teie Linuxi masinat toore jõu ja muude automatiseeritud rünnakute eest, jälgides teenuste logisid pahatahtliku tegevuse eest. Logifailide skannimiseks kasutatakse regulaaravaldisi. Kõik mustritele vastavad kirjed loendatakse ja kui nende arv jõuab teatud ettemääratud künniseni, keelab Fail2ban rikkuva IP süsteemi tulemüüri abil kindla aja jooksul. Keeluperioodi lõppedes eemaldatakse IP-aadress keeluloendist.
Selles artiklis selgitatakse, kuidas installida ja konfigureerida Fail2ban Debian 10-s.
Fail2bani installimine Debiani #
Fail2bani pakett on Debian 10 vaikehoidlates. Selle installimiseks käivitage järgmine käsk root või kasutaja, kellel on sudoõigused:
sudo apt värskendussudo apt install fail2ban
Pärast lõpetamist käivitub Fail2bani teenus automaatselt. Seda saate kontrollida teenuse oleku kontrollimisega:
sudo systemctl olek fail2banVäljund näeb välja selline:
● fail2ban.teenus - Fail2Bani teenus on laaditud: laaditud (/ lib / systemd / system / fail2ban.teenus; lubatud; hankija eelseadistus: lubatud) Aktiivne: aktiivne (töötab) alates K 2021-03-10 18:57:32 UTC; 47s tagasi .. See selleks. Sel hetkel töötab teie Debiani serveris Fail2Ban.
Fail2bani konfiguratsiooni nr
Fail2bani vaikimisi installimisel on kaks konfiguratsioonifaili, / etc / fail2ban / jail.konf ja / etc / fail2ban / jail.d / vaikimisi-debian.konf. Te ei tohiks neid faile muuta, kuna paketi värskendamisel võidakse need üle kirjutada.
Fail2ban loeb konfiguratsioonifaile järgmises järjekorras. Iga .kohalik fail alistab seadistused .konf fail:
/ etc / fail2ban / jail.konf/ etc / fail2ban / jail.d / *.konf/ etc / fail2ban / jail.kohalik/ etc / fail2ban / jail.d / *.kohalik
Lihtsaim viis Fail2bani konfigureerimiseks on vangla.konf kuni vangla.kohalik ja muuta .kohalik faili. Täpsemad kasutajad saavad ehitada a .kohalik konfiguratsioonifail nullist. The .kohalik fail ei pea sisaldama kõiki vastava seadeid .konf fail, ainult need, mille soovite alistada.
Loo .kohalik konfiguratsioonifail, kopeerides vaikimisi vangla.konf fail:
sudo cp / etc / fail2ban / jail.conf, kohalikFail2bani serveri avamise konfigureerimise alustamiseks vangla.kohalik fail oma tekstiredaktoriga:
sudo nano / etc / fail2ban / jail.kohalikFail sisaldab kommentaare, mis kirjeldavad iga konfiguratsioonivõimaluse toiminguid. Selles näites muudame põhiseadeid.
IP-aadresside lisamine lubatud loendisse #
IP-aadresse, IP-vahemikke või hosti, mille soovite keelustamisest välja jätta, saab lisada ignoreip direktiiv. Siit peaksite lisama oma kohaliku arvuti IP-aadressi ja kõik muud masinad, mille soovite valgesse loendisse lisada.
Kommenteerige algavat rida ignoreip ja lisage oma IP-aadressid tühikuga eraldatult:
ignoreip = 127.0.0.1/8 :: 1 123.123.123.123 192.168.1.0/24 Keela seaded #
bantime, leidmisaeg, ja maxretry valikud määravad keelamise aja ja keelutingimused.
bantime on kestus, mille jooksul IP on keelatud. Kui järelliite pole määratud, on vaikimisi sekundid. Vaikimisi on bantime väärtuseks määratakse 10 minutit. Enamik kasutajaid eelistab seada pikema keeluaja. Muutke väärtust oma maitse järgi:
bantime = 1 p IP-i jäädavaks keelamiseks kasutage negatiivset arvu.
leidmisaeg on kestus rikete arvu vahel enne keelu kehtestamist. Näiteks kui Fail2ban on seatud keelama IP pärast viit riket (maxretry, vt allpool), peavad need tõrked ilmnema leidmisaeg kestus.
leiuaeg = 10m maxretry on rikete arv enne IP keelamist. Vaikeväärtuseks on seatud viis, mis peaks enamiku kasutajate jaoks korras olema.
maxretry = 5 Meiliteatised #
Fail2ban võib saata meilisõnumeid, kui IP on keelatud. E-kirjade saamiseks peab teie server olema installitud SMTP ja muutma vaiketoimingut, mis keelab ainult IP % (action_mw) s, nagu allpool näidatud:
tegevus =% (action_mw) s % (action_mw) s keelab õigusrikkuja IP ja saadab e-kirja koos WHOIS-aruandega. Kui soovite e-kirja lisada asjakohased logid, määrake toiminguks % (action_mwl) s.
Saate muuta ka saatva ja vastuvõtva e-posti aadressi
/ etc / fail2ban / jail.kohaliksaatepost = admin @ linuxize.com saatja = root @ linuxize.com Fail2bani vanglad #
Fail2ban kasutab vanglate mõistet. Vangla kirjeldab teenust ning sisaldab filtreid ja toiminguid. Otsimismustrile vastavad logikirjed loendatakse ja kui eelnevalt määratletud tingimus on täidetud, viiakse vastavad toimingud läbi.
Fail2ban saadab erinevate teenuste jaoks hulga vanglat. Samuti saate luua oma vangla konfiguratsioonid. Vaikimisi on lubatud ainult ssh vangla.
Vangla lubamiseks peate lisama lubatud = tõene pärast vangla pealkirja. Järgmine näide näitab, kuidas lubada postfixi vangla:
[postfix] lubatud = true port = smtp, ssmtp filter = postfix logitee = / var / log / mail.logi Eelmises osas käsitletud sätteid saab määrata vanglas. Siin on näide:
/ etc / fail2ban / jail.kohalik[sshd] lubatud = true maxretry = 3 leidmisaega = 1 bantime = 4w ignoreip = 127.0.0.1/8 11.22.33.44 Filtrid asuvad / etc / fail2ban / filter.d kataloog, mis on salvestatud vanglaga sama nimega faili. Kui teil on kohandatud seadistus ja tavaväljendite kasutamise kogemus, saate filtreid peenhäälestada.
Iga kord, kui konfiguratsioonifaili muudetakse, tuleb muudatuste jõustumiseks teenus Fail2ban taaskäivitada:
sudo systemctl taaskäivitage fail2banFail2bani klient nr
Fail2ban tarnitakse käsurea tööriistaga fail2ban-klient mida saate kasutada Fail2bani teenusega suhtlemiseks.
Kõigi saadaolevate valikute kuvamiseks käivitage käsk käsuga -h võimalus:
fail2ban-klient-hSeda tööriista saab kasutada IP-aadresside keelamiseks / tühistamiseks, sätete muutmiseks, teenuse taaskäivitamiseks ja muuks. Siin on mõned näited:
Hankige serveri praegune olek:
sudo fail2ban-kliendi olekKontrollige vangla olekut:
sudo fail2ban-kliendi olek sshdIP blokeerimise tühistamine:
sudo fail2ban-klient määras sshd unbanip 11.22.33.44IP keelamine:
sudo fail2ban-klient määras sshd banip 11.22.33.44
Järeldus #
Oleme teile näidanud, kuidas Debian 10-s Fail2bani installida ja konfigureerida.
Selle teema kohta lisateabe saamiseks külastage Fail2bani dokumentatsiooni .
Kui teil on küsimusi, jätke julgelt allpool kommentaar.
