Kõiki Interneti kaudu juurdepääsetavaid servereid ähvardab pahavara rünnak. Näiteks kui teil on avalikust võrgust juurdepääsetav rakendus, saavad ründajad rakendusele juurde pääsemiseks kasutada jõhkraid katseid.
Fail2ban on tööriist, mis aitab kaitsta teie Linuxi masinat toore jõu ja muude automatiseeritud rünnakute eest, jälgides teenuste logisid pahatahtliku tegevuse eest. Logifailide skannimiseks kasutatakse regulaaravaldisi. Kõik mustritele vastavad kirjed loendatakse ja kui nende arv jõuab teatud ettemääratud künniseni, keelab Fail2ban rikkuva IP süsteemi tulemüüri abil kindla aja jooksul. Keeluperioodi lõppedes eemaldatakse IP-aadress keeluloendist.
Selles artiklis selgitatakse, kuidas installida ja konfigureerida Fail2ban Debian 10-s.
Fail2bani installimine Debiani #
Fail2bani pakett on Debian 10 vaikehoidlates. Selle installimiseks käivitage järgmine käsk root või kasutaja, kellel on sudoõigused:
sudo apt värskendus
sudo apt install fail2ban
Pärast lõpetamist käivitub Fail2bani teenus automaatselt. Seda saate kontrollida teenuse oleku kontrollimisega:
sudo systemctl olek fail2ban
Väljund näeb välja selline:
● fail2ban.teenus - Fail2Bani teenus on laaditud: laaditud (/ lib / systemd / system / fail2ban.teenus; lubatud; hankija eelseadistus: lubatud) Aktiivne: aktiivne (töötab) alates K 2021-03-10 18:57:32 UTC; 47s tagasi ..
See selleks. Sel hetkel töötab teie Debiani serveris Fail2Ban.
Fail2bani konfiguratsiooni nr
Fail2bani vaikimisi installimisel on kaks konfiguratsioonifaili, / etc / fail2ban / jail.konf
ja / etc / fail2ban / jail.d / vaikimisi-debian.konf
. Te ei tohiks neid faile muuta, kuna paketi värskendamisel võidakse need üle kirjutada.
Fail2ban loeb konfiguratsioonifaile järgmises järjekorras. Iga .kohalik
fail alistab seadistused .konf
fail:
/ etc / fail2ban / jail.konf
/ etc / fail2ban / jail.d / *.konf
/ etc / fail2ban / jail.kohalik
/ etc / fail2ban / jail.d / *.kohalik
Lihtsaim viis Fail2bani konfigureerimiseks on vangla.konf
kuni vangla.kohalik
ja muuta .kohalik
faili. Täpsemad kasutajad saavad ehitada a .kohalik
konfiguratsioonifail nullist. The .kohalik
fail ei pea sisaldama kõiki vastava seadeid .konf
fail, ainult need, mille soovite alistada.
Loo .kohalik
konfiguratsioonifail, kopeerides vaikimisi vangla.konf
fail:
sudo cp / etc / fail2ban / jail.conf, kohalik
Fail2bani serveri avamise konfigureerimise alustamiseks vangla.kohalik
fail oma tekstiredaktoriga:
sudo nano / etc / fail2ban / jail.kohalik
Fail sisaldab kommentaare, mis kirjeldavad iga konfiguratsioonivõimaluse toiminguid. Selles näites muudame põhiseadeid.
IP-aadresside lisamine lubatud loendisse #
IP-aadresse, IP-vahemikke või hosti, mille soovite keelustamisest välja jätta, saab lisada ignoreip
direktiiv. Siit peaksite lisama oma kohaliku arvuti IP-aadressi ja kõik muud masinad, mille soovite valgesse loendisse lisada.
Kommenteerige algavat rida ignoreip
ja lisage oma IP-aadressid tühikuga eraldatult:
ignoreip = 127.0.0.1/8 :: 1 123.123.123.123 192.168.1.0/24
Keela seaded #
bantime
, leidmisaeg
, ja maxretry
valikud määravad keelamise aja ja keelutingimused.
bantime
on kestus, mille jooksul IP on keelatud. Kui järelliite pole määratud, on vaikimisi sekundid. Vaikimisi on bantime
väärtuseks määratakse 10 minutit. Enamik kasutajaid eelistab seada pikema keeluaja. Muutke väärtust oma maitse järgi:
bantime = 1 p
IP-i jäädavaks keelamiseks kasutage negatiivset arvu.
leidmisaeg
on kestus rikete arvu vahel enne keelu kehtestamist. Näiteks kui Fail2ban on seatud keelama IP pärast viit riket (maxretry
, vt allpool), peavad need tõrked ilmnema leidmisaeg
kestus.
leiuaeg = 10m
maxretry
on rikete arv enne IP keelamist. Vaikeväärtuseks on seatud viis, mis peaks enamiku kasutajate jaoks korras olema.
maxretry = 5
Meiliteatised #
Fail2ban võib saata meilisõnumeid, kui IP on keelatud. E-kirjade saamiseks peab teie server olema installitud SMTP ja muutma vaiketoimingut, mis keelab ainult IP % (action_mw) s
, nagu allpool näidatud:
tegevus =% (action_mw) s
% (action_mw) s
keelab õigusrikkuja IP ja saadab e-kirja koos WHOIS-aruandega. Kui soovite e-kirja lisada asjakohased logid, määrake toiminguks % (action_mwl) s
.
Saate muuta ka saatva ja vastuvõtva e-posti aadressi
/ etc / fail2ban / jail.kohaliksaatepost = admin @ linuxize.com saatja = root @ linuxize.com
Fail2bani vanglad #
Fail2ban kasutab vanglate mõistet. Vangla kirjeldab teenust ning sisaldab filtreid ja toiminguid. Otsimismustrile vastavad logikirjed loendatakse ja kui eelnevalt määratletud tingimus on täidetud, viiakse vastavad toimingud läbi.
Fail2ban saadab erinevate teenuste jaoks hulga vanglat. Samuti saate luua oma vangla konfiguratsioonid. Vaikimisi on lubatud ainult ssh vangla.
Vangla lubamiseks peate lisama lubatud = tõene
pärast vangla pealkirja. Järgmine näide näitab, kuidas lubada postfixi vangla:
[postfix] lubatud = true port = smtp, ssmtp filter = postfix logitee = / var / log / mail.logi
Eelmises osas käsitletud sätteid saab määrata vanglas. Siin on näide:
/ etc / fail2ban / jail.kohalik[sshd] lubatud = true maxretry = 3 leidmisaega = 1 bantime = 4w ignoreip = 127.0.0.1/8 11.22.33.44
Filtrid asuvad / etc / fail2ban / filter.d
kataloog, mis on salvestatud vanglaga sama nimega faili. Kui teil on kohandatud seadistus ja tavaväljendite kasutamise kogemus, saate filtreid peenhäälestada.
Iga kord, kui konfiguratsioonifaili muudetakse, tuleb muudatuste jõustumiseks teenus Fail2ban taaskäivitada:
sudo systemctl taaskäivitage fail2ban
Fail2bani klient nr
Fail2ban tarnitakse käsurea tööriistaga fail2ban-klient
mida saate kasutada Fail2bani teenusega suhtlemiseks.
Kõigi saadaolevate valikute kuvamiseks käivitage käsk käsuga -h
võimalus:
fail2ban-klient-h
Seda tööriista saab kasutada IP-aadresside keelamiseks / tühistamiseks, sätete muutmiseks, teenuse taaskäivitamiseks ja muuks. Siin on mõned näited:
Hankige serveri praegune olek:
sudo fail2ban-kliendi olek
Kontrollige vangla olekut:
sudo fail2ban-kliendi olek sshd
IP blokeerimise tühistamine:
sudo fail2ban-klient määras sshd unbanip 11.22.33.44
IP keelamine:
sudo fail2ban-klient määras sshd banip 11.22.33.44
Järeldus #
Oleme teile näidanud, kuidas Debian 10-s Fail2bani installida ja konfigureerida.
Selle teema kohta lisateabe saamiseks külastage Fail2bani dokumentatsiooni .
Kui teil on küsimusi, jätke julgelt allpool kommentaar.