Home » » Jak skonfigurować Fail2ban na Debianie 9

Jak skonfigurować Fail2ban na Debianie 9

Fail2ban, jak sama nazwa wskazuje, to narzędzie zaprojektowane w celu ochrony maszyn Linux przed atakami siłowymi na wybrane otwarte porty, szczególnie port SSH. Ze względu na funkcjonalność i zarządzanie systemem portów tych nie można zamknąć za pomocą zapory ogniowej. W tych okolicznościach dobrym pomysłem jest użycie Fail2ban jako dodatkowego zabezpieczenia dla zapory ogniowej w celu ograniczenia ruchu ataków siłowych na te porty.

W tym artykule pokażę, jak zainstalować i skonfigurować Fail2ban do ochrony portu SSH, najczęstszego celu ataku, na instancji serwera Vultr Debian 9.

Wymagania wstępne

  • Świeża instancja serwera Debian 9 (Stretch) x64.
  • Zalogowany jako root.
  • Wszystkie nieużywane porty zostały zablokowane przy użyciu odpowiednich reguł IPTables.

Krok 1: Zaktualizuj system

apt update && apt upgrade -y
shutdown -r now

Po uruchomieniu systemu zaloguj się ponownie jako root.

Krok 2: Zmodyfikuj port SSH (opcjonalnie)

Ponieważ domyślny numer portu SSH 22jest zbyt popularny, aby go zignorować, zmiana go na mniej znany numer portu, powiedzmy, 38752byłaby mądrą decyzją.

sed -i "s/#Port 22/Port 38752/g" /etc/ssh/sshd_config
systemctl restart sshd.service

Po modyfikacji musisz odpowiednio zaktualizować reguły IPTables:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 38752 -j ACCEPT

Zapisz zaktualizowane reguły IPTables do pliku w celu utrwalenia:

iptables-save > /etc/iptables.up.rules
touch /etc/network/if-pre-up.d/iptables
chmod +x /etc/network/if-pre-up.d/iptables
echo '#!/bin/sh' >> /etc/network/if-pre-up.d/iptables
echo '/sbin/iptables-restore < /etc/iptables.up.rules' >> /etc/network/if-pre-up.d/iptables

W ten sposób reguły IPTables będą trwałe nawet po ponownym uruchomieniu systemu. Odtąd będziesz musiał logować się z 38752portu.

Krok 3: Zainstaluj i skonfiguruj fail2ban, aby chronić SSH

Służy aptdo instalowania stabilnej wersji Fail2ban, która jest obecnie 0.9.x:

apt install fail2ban -y

Po instalacji usługa Fail2ban uruchomi się automatycznie. Możesz użyć następującego polecenia, aby pokazać jego status:

service fail2ban status

W Debianie domyślne ustawienia filtra Fail2ban będą przechowywane zarówno w /etc/fail2ban/jail.confpliku, jak i /etc/fail2ban/jail.d/defaults-debian.confpliku. Pamiętaj, że ustawienia w drugim pliku zastąpią odpowiednie ustawienia w poprzednim.

Użyj następujących poleceń, aby wyświetlić więcej szczegółów: 

cat /etc/fail2ban/jail.conf | less
cat /etc/fail2ban/jail.d/defaults-debian.conf
fail2ban-client status
fail2ban-client status sshd

Dla Twojej informacji fragmenty kodu dotyczące SSH są wymienione poniżej:

W /etc/fail2ban/jail.conf:

[DEFAULT]

bantime = 600
...
maxentry = 5

[sshd]

port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

W /etc/fail2ban/jail.d/defaults-debian.conf:

[sshd]
enabled = true

Ponieważ zawartość dwóch powyższych plików konfiguracyjnych może ulec zmianie w przyszłych aktualizacjach systemu, należy utworzyć lokalny plik konfiguracyjny do przechowywania własnych reguł filtrowania fail2ban. Ponownie ustawienia w tym pliku zastąpią odpowiednie ustawienia w dwóch wymienionych wyżej plikach.

vi /etc/fail2ban/jail.d/jail-debian.local

Wprowadź następujące wiersze:

[sshd]
port = 38752
maxentry = 3

Uwaga: pamiętaj, aby użyć własnego portu SSH. Wyjątkiem porti maxentryjuż wspomniano, wszystkie inne ustawienia użyje wartości domyślnych.

Zapisz i wyjdź:

:wq

Uruchom ponownie usługę Fail2ban, aby załadować nową konfigurację:

service fail2ban restart

Nasza konfiguracja jest zakończona. Odtąd, jeśli jakakolwiek maszyna wyśle ​​nieprawidłowe dane logowania SSH do niestandardowego portu SSH ( 38752) serwera Debiana więcej niż trzy razy, adres IP tej potencjalnie złośliwej maszyny będzie blokowany na 600 sekund.


Tags: #Debian #Linux Guides #Server Apps

Leave a Comment

Skonfiguruj udział NFS na Debianie

Skonfiguruj udział NFS na Debianie

NFS to oparty na sieci system plików, który umożliwia komputerom dostęp do plików w sieci komputerowej. Ten przewodnik wyjaśnia, w jaki sposób możesz udostępniać foldery w NF

Jak zaktualizować CentOS 7, Ubuntu 16.04 i Debian 8

Jak zaktualizować CentOS 7, Ubuntu 16.04 i Debian 8

Podczas konfigurowania nowego serwera Linux zaleca się aktualizację jądra systemu i innych pakietów do najnowszej stabilnej wersji. W tym artykule

Korzystanie z widoków MySQL w Debianie 7

Korzystanie z widoków MySQL w Debianie 7

Wprowadzenie MySQL ma świetną funkcję znaną jako widoki. Widoki są przechowywane zapytania. Pomyśl o nich jako o aliasie dla długiego zapytania. W tym przewodniku

Konfigurowanie chroota w Debianie

Konfigurowanie chroota w Debianie

W tym artykule dowiesz się, jak skonfigurować więzienie chroot w Debianie. Zakładam, że używasz Debiana 7.x. Jeśli używasz Debiana 6 lub 8, może to działać, bu

Jak zainstalować PiVPN na Debianie

Jak zainstalować PiVPN na Debianie

Wprowadzenie Prostym sposobem na skonfigurowanie serwera VPN na Debianie jest PiVPN. PiVPN to instalator i opakowanie dla OpenVPN. Tworzy proste polecenia dla ciebie

Jak budować Brotli ze źródła na Debianie 9

Jak budować Brotli ze źródła na Debianie 9

Używasz innego systemu? Brotli to nowa metoda kompresji z lepszym współczynnikiem kompresji niż Gzip. Jego kod źródłowy jest publicznie hostowany na Github. Cześć

Zainstaluj Lynis na Debianie 8

Zainstaluj Lynis na Debianie 8

Wprowadzenie Lynis to bezpłatne narzędzie do kontroli systemu typu open source, które jest używane przez wielu administratorów systemu do sprawdzania integralności i ulepszania systemów. ja

Jak zainstalować BlogoText CMS na Debian 9 LAMP VPS

Jak zainstalować BlogoText CMS na Debian 9 LAMP VPS

Używasz innego systemu? BlogoText CMS to prosty i lekki, bezpłatny i otwarty system zarządzania treścią (CMS) oraz minimalistyczny silnik blogów

Jak zainstalować InvoicePlane na Debianie 9

Jak zainstalować InvoicePlane na Debianie 9

Używasz innego systemu? InvoicePlane to darmowa i otwarta aplikacja do fakturowania. Jego kod źródłowy można znaleźć w tym repozytorium Github. Ten przewodnik

Jak zainstalować Backdrop CMS 1.8.0 na Debian 9 LAMP VPS

Jak zainstalować Backdrop CMS 1.8.0 na Debian 9 LAMP VPS

Używasz innego systemu? Tło CMS 1.8.0 to prosty i elastyczny, przyjazny dla urządzeń mobilnych, bezpłatny i otwarty system zarządzania treścią (CMS), który pozwala nam

Zainstaluj Plesk na Debianie 7 (Wheezy)

Zainstaluj Plesk na Debianie 7 (Wheezy)

Używasz innego systemu? Plesk to zastrzeżony panel kontrolny hosta internetowego, który umożliwia użytkownikom administrowanie osobistymi i / lub klienckimi stronami internetowymi, bazami danych

Jak zainstalować BookStack na Debianie 9

Jak zainstalować BookStack na Debianie 9

Używasz innego systemu? BookStack to prosta, hostowana i łatwa w użyciu platforma do organizowania i przechowywania informacji. BookStack jest w pełni darmowy i otwarty

Jak zainstalować Pagekit 1.0 CMS na Debian 9 LAMP VPS

Jak zainstalować Pagekit 1.0 CMS na Debian 9 LAMP VPS

Używasz innego systemu? Pagekit 1.0 CMS to piękny, modułowy, rozszerzalny i lekki, bezpłatny i otwarty system zarządzania treścią (CMS) z

Jak zainstalować Subrion 4.1 CMS na Debian 9 LAMP VPS

Jak zainstalować Subrion 4.1 CMS na Debian 9 LAMP VPS

Używasz innego systemu? Subrion 4.1 CMS to potężny i elastyczny system zarządzania treścią typu open source (CMS), który zapewnia intuicyjny i przejrzysty kontekst

Instalowanie Sponge i Minecraft Forge na Debianie 9

Instalowanie Sponge i Minecraft Forge na Debianie 9

Używasz innego systemu? Sponge to projekt typu open source, który rozszerza możliwości serwerów Minecraft poprzez wtyczki. W połączeniu z modding AP

Lepsze narzędzia monitorowania dla Ubuntu i CentOS

Lepsze narzędzia monitorowania dla Ubuntu i CentOS

Wprowadzenie Systemy Linux są domyślnie dostarczane z narzędziami do monitorowania, takimi jak top, df i du, które pomagają monitorować procesy i miejsce na dysku. Często jednak są

Skonfiguruj Firefox Sync Server na Debian 9 lub Ubuntu 16.04

Skonfiguruj Firefox Sync Server na Debian 9 lub Ubuntu 16.04

Używasz innego systemu? Firefox Sync to funkcja synchronizacji przeglądarki, która umożliwia udostępnianie danych i preferencji (takich jak zakładki, historia

Jak zainstalować CMS z października 1.0 na Debianie 9 LAMP VPS

Jak zainstalować CMS z października 1.0 na Debianie 9 LAMP VPS

Używasz innego systemu? 1.0 października CMS to prosty i niezawodny, bezpłatny i otwarty system zarządzania treścią (CMS) oparty na platformie Laravel

Jak zainstalować X-Cart 5 na Debianie 10

Jak zainstalować X-Cart 5 na Debianie 10

Używasz innego systemu? X-Cart to niezwykle elastyczna platforma eCommerce typu open source z mnóstwem funkcji i integracji. Kod źródłowy X-Cart jest hostem

Monitoruj status serwera Debian za pomocą Munin

Monitoruj status serwera Debian za pomocą Munin

Munin to narzędzie do monitorowania procesów i zasobów w maszynie oraz prezentuje informacje na wykresach za pośrednictwem interfejsu internetowego. Użyj następujących

Funkcjonalności warstw architektury referencyjnej Big Data

Funkcjonalności warstw architektury referencyjnej Big Data

Przeczytaj blog, aby w najprostszy sposób poznać różne warstwy w architekturze Big Data i ich funkcjonalności.

Rewolucyjne wynalazki Google, które ułatwią Twoje życie.

Rewolucyjne wynalazki Google, które ułatwią Twoje życie.

Chcesz zobaczyć rewolucyjne wynalazki Google i jak te wynalazki zmieniły życie każdego człowieka dzisiaj? Następnie czytaj na blogu, aby zobaczyć wynalazki Google.

13 komercyjnych narzędzi do ekstrakcji danych z Big Data

13 komercyjnych narzędzi do ekstrakcji danych z Big Data

13 komercyjnych narzędzi do ekstrakcji danych z Big Data

Pozostań w kontakcie dzięki aplikacji WhatsApp na komputer 24*7

Pozostań w kontakcie dzięki aplikacji WhatsApp na komputer 24*7

Whatsapp w końcu uruchomił aplikację Desktop dla użytkowników komputerów Mac i Windows. Teraz możesz łatwo uzyskać dostęp do Whatsapp z systemu Windows lub Mac. Dostępne dla Windows 8+ i Mac OS 10.9+

5 przykładów, które dowodzą, że energetyka jądrowa nie zawsze jest zła

5 przykładów, które dowodzą, że energetyka jądrowa nie zawsze jest zła

Energia jądrowa jest zawsze pogardzana, nigdy jej nie szanujemy z powodu przeszłych wydarzeń, ale nie zawsze jest zła. Przeczytaj post, aby dowiedzieć się więcej na ten temat.

Friday Essential: Co się stało z samochodami sterowanymi przez sztuczną inteligencję?

Friday Essential: Co się stało z samochodami sterowanymi przez sztuczną inteligencję?

Koncepcja autonomicznych samochodów, które wyjadą na drogi za pomocą sztucznej inteligencji, to marzenie, które mamy już od jakiegoś czasu. Ale pomimo kilku obietnic nigdzie ich nie widać. Przeczytaj ten blog, aby dowiedzieć się więcej…

Czy AI może walczyć z rosnącą liczbą ataków ransomware?

Czy AI może walczyć z rosnącą liczbą ataków ransomware?

Wzrasta liczba ataków ransomware, ale czy sztuczna inteligencja może pomóc w radzeniu sobie z najnowszym wirusem komputerowym? Czy AI jest odpowiedzią? Przeczytaj tutaj, wiedz, że sztuczna inteligencja jest zmorą lub zgubą

5 przydatnych narzędzi sztucznej inteligencji, które uproszczą Twoje życie

5 przydatnych narzędzi sztucznej inteligencji, które uproszczą Twoje życie

Sztuczna inteligencja nie jest dla ludzi nową nazwą. Ponieważ sztuczna inteligencja jest włączona do każdego strumienia, jednym z nich jest opracowywanie narzędzi zwiększających ludzką wydajność i dokładność. Skorzystaj z tych niesamowitych narzędzi uczenia maszynowego i uprość swoje codzienne zadania.

Wgląd w 26 technik analizy Big Data: część 2

Wgląd w 26 technik analizy Big Data: część 2

Zawsze potrzebujemy Big Data Analytics do efektywnego zarządzania danymi. W tym artykule omówiliśmy kilka technik analizy Big Data. Sprawdź ten artykuł.

Ataki DDOS: krótki przegląd

Ataki DDOS: krótki przegląd

Czy jesteś również ofiarą ataków DDOS i nie masz pewności co do metod zapobiegania? Przeczytaj ten artykuł, aby rozwiązać swoje pytania.