Jak skonfigurować Fail2ban na Debianie 9

• Wymagania wstępne
• Krok 1: Zaktualizuj system
• Krok 2: Zmodyfikuj port SSH (opcjonalnie)
• Krok 3: Zainstaluj i skonfiguruj fail2ban, aby chronić SSH

Fail2ban, jak sama nazwa wskazuje, to narzędzie zaprojektowane w celu ochrony maszyn Linux przed atakami siłowymi na wybrane otwarte porty, szczególnie port SSH. Ze względu na funkcjonalność i zarządzanie systemem portów tych nie można zamknąć za pomocą zapory ogniowej. W tych okolicznościach dobrym pomysłem jest użycie Fail2ban jako dodatkowego zabezpieczenia dla zapory ogniowej w celu ograniczenia ruchu ataków siłowych na te porty.

W tym artykule pokażę, jak zainstalować i skonfigurować Fail2ban do ochrony portu SSH, najczęstszego celu ataku, na instancji serwera Vultr Debian 9.

Wymagania wstępne

• Świeża instancja serwera Debian 9 (Stretch) x64.
• Zalogowany jako root.
• Wszystkie nieużywane porty zostały zablokowane przy użyciu odpowiednich reguł IPTables.

Krok 1: Zaktualizuj system

apt update && apt upgrade -y
shutdown -r now

Po uruchomieniu systemu zaloguj się ponownie jako root.

Krok 2: Zmodyfikuj port SSH (opcjonalnie)

Ponieważ domyślny numer portu SSH 22jest zbyt popularny, aby go zignorować, zmiana go na mniej znany numer portu, powiedzmy, 38752byłaby mądrą decyzją.

sed -i "s/#Port 22/Port 38752/g" /etc/ssh/sshd_config
systemctl restart sshd.service

Po modyfikacji musisz odpowiednio zaktualizować reguły IPTables:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 38752 -j ACCEPT

Zapisz zaktualizowane reguły IPTables do pliku w celu utrwalenia:

iptables-save > /etc/iptables.up.rules
touch /etc/network/if-pre-up.d/iptables
chmod +x /etc/network/if-pre-up.d/iptables
echo '#!/bin/sh' >> /etc/network/if-pre-up.d/iptables
echo '/sbin/iptables-restore < /etc/iptables.up.rules' >> /etc/network/if-pre-up.d/iptables

W ten sposób reguły IPTables będą trwałe nawet po ponownym uruchomieniu systemu. Odtąd będziesz musiał logować się z 38752portu.

Krok 3: Zainstaluj i skonfiguruj fail2ban, aby chronić SSH

Służy aptdo instalowania stabilnej wersji Fail2ban, która jest obecnie 0.9.x:

apt install fail2ban -y

Po instalacji usługa Fail2ban uruchomi się automatycznie. Możesz użyć następującego polecenia, aby pokazać jego status:

service fail2ban status

W Debianie domyślne ustawienia filtra Fail2ban będą przechowywane zarówno w /etc/fail2ban/jail.confpliku, jak i /etc/fail2ban/jail.d/defaults-debian.confpliku. Pamiętaj, że ustawienia w drugim pliku zastąpią odpowiednie ustawienia w poprzednim.

Użyj następujących poleceń, aby wyświetlić więcej szczegółów:

cat /etc/fail2ban/jail.conf | less
cat /etc/fail2ban/jail.d/defaults-debian.conf
fail2ban-client status
fail2ban-client status sshd

Dla Twojej informacji fragmenty kodu dotyczące SSH są wymienione poniżej:

W /etc/fail2ban/jail.conf:

[DEFAULT]

bantime = 600
...
maxentry = 5

[sshd]

port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

W /etc/fail2ban/jail.d/defaults-debian.conf:

[sshd]
enabled = true

Ponieważ zawartość dwóch powyższych plików konfiguracyjnych może ulec zmianie w przyszłych aktualizacjach systemu, należy utworzyć lokalny plik konfiguracyjny do przechowywania własnych reguł filtrowania fail2ban. Ponownie ustawienia w tym pliku zastąpią odpowiednie ustawienia w dwóch wymienionych wyżej plikach.

vi /etc/fail2ban/jail.d/jail-debian.local

Wprowadź następujące wiersze:

[sshd]
port = 38752
maxentry = 3

Uwaga: pamiętaj, aby użyć własnego portu SSH. Wyjątkiem porti maxentryjuż wspomniano, wszystkie inne ustawienia użyje wartości domyślnych.

Zapisz i wyjdź:

:wq

Uruchom ponownie usługę Fail2ban, aby załadować nową konfigurację:

service fail2ban restart

Nasza konfiguracja jest zakończona. Odtąd, jeśli jakakolwiek maszyna wyśle ​​nieprawidłowe dane logowania SSH do niestandardowego portu SSH ( 38752) serwera Debiana więcej niż trzy razy, adres IP tej potencjalnie złośliwej maszyny będzie blokowany na 600 sekund.