نحوه تنظیم Fail2ban در Debian 9

• پیش نیازها
• مرحله 1: سیستم را به روز کنید
• مرحله 2: درگاه SSH را تغییر دهید (اختیاری)
• مرحله 3: برای محافظت از SSH ، fail2ban را نصب و پیکربندی کنید

همانطور که از نام آن پیداست Fail2ban ابزاری است که به منظور محافظت از ماشینهای لینوکس در برابر حملات بی رحمانه بر روی پورت های باز ، بخصوص درگاه SSH طراحی شده است. به دلیل عملکرد و مدیریت سیستم ، این درگاه ها با استفاده از دیوار آتش نمی توانند بسته شوند. در این شرایط ، این ایده خوبی است که از Fail2ban به عنوان یک اقدام امنیتی اضافی برای فایروال استفاده کنید تا ترافیک حمله بی رحمانه به این پورت ها محدود شود.

در این مقاله ، نحوه نصب و پیکربندی Fail2ban را برای محافظت از درگاه SSH ، رایج ترین هدف حمله ، به عنوان نمونه سرور Vultr Debian 9 به شما نشان خواهم داد.

پیش نیازها

• نمونه سرور جدید Debian 9 (Stretch) x64.
• ورود به عنوان root.
• کلیه درگاه های استفاده نشده با قوانین مناسب IPTables مسدود شده است.

مرحله 1: سیستم را به روز کنید

apt update && apt upgrade -y
shutdown -r now

بعد از اینکه سیستم بوت شد ، وارد سیستم شوید root.

مرحله 2: درگاه SSH را تغییر دهید (اختیاری)

از آنجا که شماره پیش فرض پورت SSH 22برای نادیده گرفتن ، تغییر آن به تعداد پورت کمتر شناخته شده ، بسیار رایج است ، می گوید 38752یک تصمیم هوشمندانه است.

sed -i "s/#Port 22/Port 38752/g" /etc/ssh/sshd_config
systemctl restart sshd.service

پس از اصلاح ، باید قوانین IPTables را بر این اساس به روز کنید:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 38752 -j ACCEPT

قوانین به روز شده IPTables را برای اهداف ماندگار در یک پرونده ذخیره کنید:

iptables-save > /etc/iptables.up.rules
touch /etc/network/if-pre-up.d/iptables
chmod +x /etc/network/if-pre-up.d/iptables
echo '#!/bin/sh' >> /etc/network/if-pre-up.d/iptables
echo '/sbin/iptables-restore < /etc/iptables.up.rules' >> /etc/network/if-pre-up.d/iptables

در این روش ، قوانین IPTables حتی پس از راه اندازی مجدد سیستم ، پایدار خواهند بود. از این پس ، باید از 38752درگاه وارد شوید .

مرحله 3: برای محافظت از SSH ، fail2ban را نصب و پیکربندی کنید

استفاده از aptبه نصب نسخه پایدار از Fail2ban در که در حال حاضر 0.9.x:

apt install fail2ban -y

پس از نصب ، سرویس Fail2ban بطور خودکار شروع می شود. برای نشان دادن وضعیت خود می توانید از دستور زیر استفاده کنید:

service fail2ban status

در Debian ، تنظیمات پیش فرض فیلتر Fail2ban در هر دو /etc/fail2ban/jail.confفایل و /etc/fail2ban/jail.d/defaults-debian.confفایل ذخیره می شود. به یاد داشته باشید که تنظیمات در پرونده دوم تنظیمات مربوطه را در پرونده قبلی نادیده می گیرد.

برای مشاهده جزئیات بیشتر از دستورات زیر استفاده کنید:

cat /etc/fail2ban/jail.conf | less
cat /etc/fail2ban/jail.d/defaults-debian.conf
fail2ban-client status
fail2ban-client status sshd

برای اطلاعات خود ، گزیده های کد مربوط به SSH در زیر ذکر شده است:

در /etc/fail2ban/jail.conf:

[DEFAULT]

bantime = 600
...
maxentry = 5

[sshd]

port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

در /etc/fail2ban/jail.d/defaults-debian.conf:

[sshd]
enabled = true

از آنجا که محتویات موجود در دو پرونده پیکربندی فوق در به روزرسانی های بعدی سیستم ممکن است تغییر کند ، شما باید یک فایل پیکربندی محلی ایجاد کنید تا قوانین فیلتر fail2ban خود را ذخیره کنید. مجدداً ، تنظیمات موجود در این پرونده ، تنظیمات مربوطه را در دو پرونده ذکر شده در بالا رد خواهند کرد.

vi /etc/fail2ban/jail.d/jail-debian.local

خطوط زیر را وارد کنید:

[sshd]
port = 38752
maxentry = 3

توجه: حتما از درگاه SSH خود استفاده کنید. به جز portو maxentryدر بالا ذکر شد، تمام تنظیمات دیگر را به مقادیر پیش فرض استفاده کنید.

ذخیره نموده و خارج شوید:

:wq

برای بارگیری پیکربندی جدید ، سرویس Fail2ban را مجدداً راه اندازی کنید:

service fail2ban restart

راه اندازی ما کامل است از این پس ، در صورت وجود هر دستگاه اعتبار نامعتبر SSH به درگاه SSH سفارشی سرور دبیان ( 38752) بیش از سه برابر ، IP این دستگاه مخرب بالقوه برای 600 ثانیه ممنوع می شود.