डेबियन 9 पर Fail2ban सेटअप करने के लिए कैसे

• आवश्यक शर्तें
• चरण 1: सिस्टम को अपडेट करें
• चरण 2: SSH पोर्ट (वैकल्पिक) को संशोधित करें
• चरण 3: SSH की सुरक्षा करने के लिए fail2ban को स्थापित और कॉन्फ़िगर करें

Fail2ban, जैसा कि इसके नाम से पता चलता है, एक उपयोगिता है जिसे लिनक्स मशीनों को चुनिंदा खुले बंदरगाहों, विशेष रूप से एसएसएच पोर्ट पर ब्रूट-फोर्स हमलों से बचाने के लिए डिज़ाइन किया गया है। सिस्टम की कार्यक्षमता और प्रबंधन के लिए, इन पोर्ट को फ़ायरवॉल का उपयोग करके बंद नहीं किया जा सकता है। इस परिस्थिति में, इन बंदरगाहों पर ब्रूट-फोर्स अटैक ट्रैफिक को प्रतिबंधित करने के लिए फ़ायरवॉल के पूरक सुरक्षा उपाय के रूप में Fail2ban का उपयोग करना एक अच्छा विचार है।

इस लेख में, मैं आपको दिखाऊंगा कि SSH पोर्ट की रक्षा के लिए Fail2ban को कैसे स्थापित करें और कॉन्फ़िगर करें, एक वल्चर डेबियन 9 सर्वर उदाहरण पर सबसे आम हमले का लक्ष्य।

आवश्यक शर्तें

• एक ताजा डेबियन 9 (खिंचाव) x64 सर्वर उदाहरण।
• के रूप में लॉग इन किया root।
• सभी अप्रयुक्त बंदरगाहों को उचित IPTables नियमों के साथ अवरुद्ध कर दिया गया है।

चरण 1: सिस्टम को अपडेट करें

apt update && apt upgrade -y
shutdown -r now

सिस्टम बूट होने के बाद, वापस लॉग इन करें root।

चरण 2: SSH पोर्ट (वैकल्पिक) को संशोधित करें

चूंकि डिफ़ॉल्ट SSH पोर्ट नंबर 22को अनदेखा करना बहुत लोकप्रिय है, इसे कम-ज्ञात पोर्ट नंबर में बदलना, कहना 38752एक स्मार्ट निर्णय होगा।

sed -i "s/#Port 22/Port 38752/g" /etc/ssh/sshd_config
systemctl restart sshd.service

संशोधन के बाद, आपको तदनुसार IPTables नियमों को अपडेट करने की आवश्यकता है:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 38752 -j ACCEPT

निरंतर उद्देश्यों के लिए एक फ़ाइल के लिए अद्यतन किए गए IPTables नियम सहेजें:

iptables-save > /etc/iptables.up.rules
touch /etc/network/if-pre-up.d/iptables
chmod +x /etc/network/if-pre-up.d/iptables
echo '#!/bin/sh' >> /etc/network/if-pre-up.d/iptables
echo '/sbin/iptables-restore < /etc/iptables.up.rules' >> /etc/network/if-pre-up.d/iptables

इस प्रकार, सिस्टम रीबूट होने के बाद भी IPTables नियम लगातार बने रहेंगे। अब से, आपको 38752पोर्ट से लॉग इन करना होगा ।

चरण 3: SSH की सुरक्षा करने के लिए fail2ban को स्थापित और कॉन्फ़िगर करें

aptFail2ban के स्थिर संस्करण को स्थापित करने के लिए उपयोग करें जो वर्तमान में है 0.9.x:

apt install fail2ban -y

स्थापना के बाद, Fail2ban सेवा स्वचालित रूप से शुरू हो जाएगी। इसकी स्थिति दिखाने के लिए आप निम्न कमांड का उपयोग कर सकते हैं:

service fail2ban status

डेबियन पर, डिफ़ॉल्ट Fail2ban फ़िल्टर सेटिंग्स को /etc/fail2ban/jail.confफ़ाइल और फ़ाइल दोनों में संग्रहीत किया जाएगा /etc/fail2ban/jail.d/defaults-debian.conf। याद रखें कि बाद की फ़ाइल में सेटिंग्स पूर्व में एक से अधिक सेटिंग्स को ओवरराइड करेंगी।

अधिक विवरण देखने के लिए निम्न आदेशों का उपयोग करें:

cat /etc/fail2ban/jail.conf | less
cat /etc/fail2ban/jail.d/defaults-debian.conf
fail2ban-client status
fail2ban-client status sshd

आपकी जानकारी के लिए, SSH के बारे में कोड अंश नीचे सूचीबद्ध हैं:

में /etc/fail2ban/jail.conf:

[DEFAULT]

bantime = 600
...
maxentry = 5

[sshd]

port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

में /etc/fail2ban/jail.d/defaults-debian.conf:

[sshd]
enabled = true

चूँकि ऊपर की दो कॉन्फिग फाइलों में मौजूद कंटेंट भविष्य के सिस्टम अपडेट में बदल सकते हैं, इसलिए आपको अपने स्वयं के फेल 2बन फिल्टर रूल्स को स्टोर करने के लिए एक लोकल कॉन्फिग फाइल बनानी चाहिए। फिर, इस फ़ाइल में सेटिंग्स ऊपर उल्लिखित दो फाइलों में संबंधित सेटिंग्स को ओवरराइड करेंगी।

vi /etc/fail2ban/jail.d/jail-debian.local

निम्नलिखित पंक्तियों को इनपुट करें:

[sshd]
port = 38752
maxentry = 3

नोट: अपने SSH पोर्ट का उपयोग करना सुनिश्चित करें। को छोड़कर portऔर maxentryऊपर उल्लेख किया गया है, अन्य सभी सेटिंग्स डिफ़ॉल्ट मानों का उपयोग करेंगी।

सेव करके छोड़ो:

:wq

नए कॉन्फ़िगरेशन को लोड करने के लिए Fail2ban सेवा को पुनरारंभ करें:

service fail2ban restart

हमारा सेटअप पूरा हो गया है। अब से, अगर कोई भी मशीन डेबियन सर्वर के कस्टम एसएसएच पोर्ट ( 38752) में तीन बार से अधिक गलत एसएसएच क्रेडेंशियल्स भेजता है, तो इस संभावित दुर्भावनापूर्ण मशीन के आईपी को 600 सेकंड के लिए प्रतिबंधित कर दिया जाएगा।