نحوه راه اندازی Fail2Ban On CentOS

• آشنایی با Fail2Ban
• نصب Fail2Ban
• تنظیمات Fail2Ban را پیکربندی کنید
• پیکربندی Fail2Ban برای محافظت از SSH
• راه اندازی سرویس Fail2Ban
• نحوه پیگیری تلاشهای ناموفق برای ورود به سیستم

آشنایی با Fail2Ban

به طور پیش فرض ، مشتری با استفاده از پورت 22 به SSH متصل می شود. از آنجا که این پورت شناخته شده است ، پیکربندی پیش فرض در برابر بسیاری از حملات بی رحمانه آسیب پذیر است. Fail2Ban راه حلی برای محافظت خودکار از سرور در برابر این حملات است. این برنامه به صورت پس زمینه اجرا می شود ، فایل های گزارش را اسکن می کند تا تشخیص دهد که IP ها به چه کسی حمله می کنند و به طور خودکار دسترسی آنها به SSH را ممنوع می کند.

نصب Fail2Ban

در این آموزش Fail2Ban را روی CentOS 6 از طریق مخزن EPEL نصب خواهیم کرد. دستورات زیر را اجرا کنید.

yum install epel-release
yum install fail2ban

توضیح

• yum install epel-release: مخزن EPEL (بسته های اضافی برای Enterprise Linux) را نصب می کند.
• yum install fail2ban: Fail2Ban را از مخزن EPEL نصب می کند.

تنظیمات Fail2Ban را پیکربندی کنید

پرونده پیکربندی Fail2Ban را باز کنید.

nano /etc/fail2ban/jail.conf

در پرونده برخی از پارامترها را مانند تصویر زیر مشاهده خواهید کرد. هر یک از مقادیر را مطابق نیاز خود تنظیم کنید.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
ignoreip = 127.0.0.1

# "bantime" is the number of seconds that a host is banned.
bantime = 600

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime = 600

# "maxretry" is the number of failures before a host get banned.
maxretry = 3

توضیح

• ignoreip: میزبان هایی که با این آدرس مطابقت دارند را ممنوع نکنید. چندین آدرس را می توان با استفاده از جداکننده فضا تعریف کرد. IP شخصی خود را در این خط بنویسید.
• bantime: تعداد ثانیه هایی که میزبان ممنوع است.
• findtime: میزبان ممنوع است اگر آن را تولید maxretryدر آخرین findtime.
• maxretry: تعداد خرابی ها قبل از میزبان ممنوع است.

پیکربندی Fail2Ban برای محافظت از SSH

ابتدا باید یک فایل پیکربندی ایجاد کنیم.

nano /etc/fail2ban/jail.local

خطوط زیر را کپی کرده و در پرونده بچسبانید.

[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
#           sendmail-whois[name=SSH, dest=root, sender=fail2ban@example.com]
logpath  = /var/log/secure
maxretry = 5

• enabled: محافظت را فعال کنید. اگر می خواهید آن را خاموش کنید ، مقدار را به غلط تغییر دهید.
• filter: به طور پیش فرض ، روی sshd تنظیم شده است که به پرونده اشاره دارد /etc/fail2ban/filter.d/sshd.conf.
• action: Fail2Ban IP که مطابق با فیلتر است را ممنوع می کند /etc/fail2ban/action.d/iptables.conf. اگر قبلاً پورت SSH را تغییر داده بودید port=ssh، به عنوان مثال به پورت جدید تغییر دهید port=2222. اگر از پورت 22 استفاده می کنید ، نیازی به تغییر مقدار ندارید.
• logpath: مسیر پرونده log که توسط Fail2Ban استفاده شده است.
• maxretry: بیشترین تعداد تلاش ناموفق برای ورود به سیستم.

راه اندازی سرویس Fail2Ban

برای شروع سرویس Fail2Ban این دو دستور را در زیر اجرا کنید:

chkconfig --level 23 fail2ban on
service fail2ban start

در آخر ، بررسی iptablesکنید که آیا قوانین اضافه شده توسط Fail2Ban را دارد یا خیر.

iptables -L

نتیجه مشابه این خروجی خواهد بود.

Chain INPUT (policy ACCEPT)
target prot opt source destination
f2b-SSH tcp -- anywhere anywhere tcp dpt:EtherNet/IP-1

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain f2b-SSH (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

نحوه پیگیری تلاشهای ناموفق برای ورود به سیستم

می توانید از این دستور استفاده کنید تا بررسی کنید که آیا سرور شما در ورود به سیستم شکست خورده است (حملات احتمالی).

cat /var/log/secure | grep 'Failed password'

نتیجه مشابه این سطرها خواهد بود.

Dec  6 22:47:12 vultr sshd[7942]: Failed password for root from 43.229.53.67 port 23021 ssh2
Dec  6 22:47:15 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:16 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:18 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:31 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:34 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:36 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:39 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:41 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:43 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:47 vultr sshd[7952]: Failed password for root from 43.229.53.67 port 62846 ssh2
Dec  6 22:47:49 vultr sshd[7952]: Failed password for root from 43.229.53.67 port 62846 ssh2

برای مشاهده اینکه IP های شما ممنوع اعلام شده است ، از دستور زیر استفاده کنید.

iptables -L -n

برای حذف آدرس IP از لیست ممنوع ، دستور زیر را اجرا کنید. banned_ipبه آی پی تغییر دهید که می خواهید آن را حذف کنید.

iptables -D f2b-SSH -s banned_ip -j DROP