Strona główna » » Jak skonfigurować Fail2Ban na CentOS

Jak skonfigurować Fail2Ban na CentOS

Wprowadzenie do Fail2Ban

Domyślnie klient łączy się z SSH przy użyciu portu 22. Ponieważ jest to port dobrze znany, domyślna konfiguracja jest podatna na wiele ataków siłowych. Fail2Ban to rozwiązanie do automatycznej ochrony serwera przed tymi atakami. Program działa w tle, skanuje pliki dziennika w celu wykrycia, które adresy IP atakują i automatycznie blokuje im dostęp do SSH.

Instalowanie Fail2Ban

W tym samouczku zainstalujemy Fail2Ban na CentOS 6 za pośrednictwem repozytorium EPEL. Uruchom następujące polecenia.

yum install epel-release
yum install fail2ban

Wyjaśnienie

  • yum install epel-release: Instaluje repozytorium EPEL (dodatkowe pakiety dla Enterprise Linux).
  • yum install fail2ban: Instaluje Fail2Ban z repozytorium EPEL.

Konfigurowanie ustawień Fail2Ban

Otwórz plik konfiguracyjny Fail2Ban.

nano /etc/fail2ban/jail.conf

W pliku zobaczysz niektóre parametry, jak pokazano poniżej. Dostosuj dowolne wartości do swoich potrzeb.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
ignoreip = 127.0.0.1

# "bantime" is the number of seconds that a host is banned.
bantime = 600

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime = 600

# "maxretry" is the number of failures before a host get banned.
maxretry = 3

Wyjaśnienie

  • ignoreip: Nie blokuj hostów pasujących do adresu na tej liście. Za pomocą separatora spacji można zdefiniować kilka adresów. Wpisz swój osobisty adres IP na tej linii.
  • bantime: Liczba sekund, przez którą host jest zbanowany.
  • findtime: Host jest zbanowany, jeśli wygenerował maxretrypodczas ostatniego findtime.
  • maxretry: Liczba awarii, zanim host zostanie zbanowany.

Konfigurowanie Fail2Ban w celu ochrony SSH

Najpierw musimy utworzyć plik konfiguracyjny.

nano /etc/fail2ban/jail.local

Skopiuj poniższe wiersze i wklej do pliku.

[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
#           sendmail-whois[name=SSH, dest=root, sender=fail2ban@example.com]
logpath  = /var/log/secure
maxretry = 5
  • enabled: Aktywuj ochronę. Jeśli chcesz go wyłączyć, zmień wartość na false.
  • filter: Domyślnie jest ustawiony na sshd, który odnosi się do pliku /etc/fail2ban/filter.d/sshd.conf.
  • action: Fail2Ban zablokuje adres IP zgodny z filtrem /etc/fail2ban/action.d/iptables.conf. Jeśli wcześniej zmieniłeś port SSH, przejdź port=sshna przykład do nowego portu port=2222. Jeśli używasz portu 22, nie musisz zmieniać wartości.
  • logpath: Ścieżka do pliku dziennika używanego przez Fail2Ban.
  • maxretry: Maksymalna liczba nieudanych prób logowania.

Uruchamianie usługi Fail2Ban

Uruchom poniższe dwa polecenia, aby uruchomić usługę Fail2Ban:

chkconfig --level 23 fail2ban on
service fail2ban start

Na koniec sprawdź, iptablesczy ma reguły dodane przez Fail2Ban.

iptables -L

Wynik będzie wyglądał podobnie do tego wyniku.

Chain INPUT (policy ACCEPT)
target prot opt source destination
f2b-SSH tcp -- anywhere anywhere tcp dpt:EtherNet/IP-1

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain f2b-SSH (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Jak śledzić nieudane próby logowania

Możesz użyć tego polecenia, aby sprawdzić, czy serwer nie powiódł się prób logowania (możliwe ataki).

cat /var/log/secure | grep 'Failed password'

Wynik będzie wyglądał podobnie do tych linii.

Dec  6 22:47:12 vultr sshd[7942]: Failed password for root from 43.229.53.67 port 23021 ssh2
Dec  6 22:47:15 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:16 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:18 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:31 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:34 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:36 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:39 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:41 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:43 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:47 vultr sshd[7952]: Failed password for root from 43.229.53.67 port 62846 ssh2
Dec  6 22:47:49 vultr sshd[7952]: Failed password for root from 43.229.53.67 port 62846 ssh2

Aby zobaczyć, które adresy IP zostały zablokowane, użyj następującego polecenia.

iptables -L -n

Aby usunąć adres IP z listy zabronionych, uruchom następujące polecenie. Zmień banned_ipadres IP, który chcesz odblokować.

iptables -D f2b-SSH -s banned_ip -j DROP

Zostaw komentarz

Funkcjonalności warstw architektury referencyjnej Big Data

Funkcjonalności warstw architektury referencyjnej Big Data

Przeczytaj blog, aby w najprostszy sposób poznać różne warstwy w architekturze Big Data i ich funkcjonalności.

Rewolucyjne wynalazki Google, które ułatwią Twoje życie.

Rewolucyjne wynalazki Google, które ułatwią Twoje życie.

Chcesz zobaczyć rewolucyjne wynalazki Google i jak te wynalazki zmieniły życie każdego człowieka dzisiaj? Następnie czytaj na blogu, aby zobaczyć wynalazki Google.

13 komercyjnych narzędzi do ekstrakcji danych z Big Data

13 komercyjnych narzędzi do ekstrakcji danych z Big Data

13 komercyjnych narzędzi do ekstrakcji danych z Big Data

Pozostań w kontakcie dzięki aplikacji WhatsApp na komputer 24*7

Pozostań w kontakcie dzięki aplikacji WhatsApp na komputer 24*7

Whatsapp w końcu uruchomił aplikację Desktop dla użytkowników komputerów Mac i Windows. Teraz możesz łatwo uzyskać dostęp do Whatsapp z systemu Windows lub Mac. Dostępne dla Windows 8+ i Mac OS 10.9+

5 przykładów, które dowodzą, że energetyka jądrowa nie zawsze jest zła

5 przykładów, które dowodzą, że energetyka jądrowa nie zawsze jest zła

Energia jądrowa jest zawsze pogardzana, nigdy jej nie szanujemy z powodu przeszłych wydarzeń, ale nie zawsze jest zła. Przeczytaj post, aby dowiedzieć się więcej na ten temat.

Friday Essential: Co się stało z samochodami sterowanymi przez sztuczną inteligencję?

Friday Essential: Co się stało z samochodami sterowanymi przez sztuczną inteligencję?

Koncepcja autonomicznych samochodów, które wyjadą na drogi za pomocą sztucznej inteligencji, to marzenie, które mamy już od jakiegoś czasu. Ale pomimo kilku obietnic nigdzie ich nie widać. Przeczytaj ten blog, aby dowiedzieć się więcej…

5 przydatnych narzędzi sztucznej inteligencji, które uproszczą Twoje życie

5 przydatnych narzędzi sztucznej inteligencji, które uproszczą Twoje życie

Sztuczna inteligencja nie jest dla ludzi nową nazwą. Ponieważ sztuczna inteligencja jest włączona do każdego strumienia, jednym z nich jest opracowywanie narzędzi zwiększających ludzką wydajność i dokładność. Skorzystaj z tych niesamowitych narzędzi uczenia maszynowego i uprość swoje codzienne zadania.

Czy AI może walczyć z rosnącą liczbą ataków ransomware?

Czy AI może walczyć z rosnącą liczbą ataków ransomware?

Wzrasta liczba ataków ransomware, ale czy sztuczna inteligencja może pomóc w radzeniu sobie z najnowszym wirusem komputerowym? Czy AI jest odpowiedzią? Przeczytaj tutaj, wiedz, że sztuczna inteligencja jest zmorą lub zgubą

Wgląd w 26 technik analizy Big Data: część 2

Wgląd w 26 technik analizy Big Data: część 2

Zawsze potrzebujemy Big Data Analytics do efektywnego zarządzania danymi. W tym artykule omówiliśmy kilka technik analizy Big Data. Sprawdź ten artykuł.

Ataki DDOS: krótki przegląd

Ataki DDOS: krótki przegląd

Czy jesteś również ofiarą ataków DDOS i nie masz pewności co do metod zapobiegania? Przeczytaj ten artykuł, aby rozwiązać swoje pytania.