Cum se instalează Fail2ban pe Debian 9

• Cerințe preliminare
• Pasul 1: Actualizați sistemul
• Pasul 2: Modificați portul SSH (opțional)
• Pasul 3: Instalați și configurați fail2ban pentru a proteja SSH

Fail2ban, după cum sugerează și numele său, este un utilitar conceput pentru a ajuta la protejarea mașinilor Linux de atacurile cu forțe brute asupra anumitor porturi deschise, în special portul SSH. Din motive de funcționalitate și gestionare a sistemului, aceste porturi nu pot fi închise folosind un firewall. În această situație, este bine să folosiți Fail2ban ca măsură suplimentară de securitate la un firewall pentru a restricționa traficul de atac cu forțe brute pe aceste porturi.

În acest articol, vă voi arăta cum să instalați și să configurați Fail2ban pentru a proteja portul SSH, cea mai comună țintă de atac, pe o instanță a serverului Vultr Debian 9.

Cerințe preliminare

• O nouă instanță a serverului Debian 9 (Stretch) x64.
• Conectat ca root.
• Toate porturile neutilizate au fost blocate cu reguli IPTables adecvate.

Pasul 1: Actualizați sistemul

apt update && apt upgrade -y
shutdown -r now

După ce sistemul pornește, conectați din nou ca root.

Pasul 2: Modificați portul SSH (opțional)

Deoarece numărul de port SSH implicit 22este prea popular pentru a fi ignorat, schimbându-l într-un număr de port mai puțin cunoscut, să spunem că 38752ar fi o decizie inteligentă.

sed -i "s/#Port 22/Port 38752/g" /etc/ssh/sshd_config
systemctl restart sshd.service

După modificare, trebuie să actualizați regulile IPTables în consecință:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 38752 -j ACCEPT

Salvați regulile IPTables actualizate într-un fișier pentru persistență:

iptables-save > /etc/iptables.up.rules
touch /etc/network/if-pre-up.d/iptables
chmod +x /etc/network/if-pre-up.d/iptables
echo '#!/bin/sh' >> /etc/network/if-pre-up.d/iptables
echo '/sbin/iptables-restore < /etc/iptables.up.rules' >> /etc/network/if-pre-up.d/iptables

În acest mod, regulile IPTables vor fi persistente chiar și după repornirea sistemului. De acum înainte, va trebui să vă autentificați din 38752port.

Pasul 3: Instalați și configurați fail2ban pentru a proteja SSH

Folosiți aptpentru a instala versiunea stabilă a Fail2ban care este în prezent 0.9.x:

apt install fail2ban -y

După instalare, serviciul Fail2ban va porni automat. Puteți utiliza următoarea comandă pentru a arăta starea acesteia:

service fail2ban status

Pe Debian, setările implicite ale filtrului Fail2ban vor fi stocate atât în /etc/fail2ban/jail.conffișier, cât și în /etc/fail2ban/jail.d/defaults-debian.conffișier. Nu uitați că setările din ultimul fișier vor înlocui setările corespunzătoare din primul.

Utilizați următoarele comenzi pentru a vizualiza mai multe detalii:

cat /etc/fail2ban/jail.conf | less
cat /etc/fail2ban/jail.d/defaults-debian.conf
fail2ban-client status
fail2ban-client status sshd

Pentru informațiile dvs., mai jos sunt prezentate extrase de cod despre SSH:

În /etc/fail2ban/jail.conf:

[DEFAULT]

bantime = 600
...
maxentry = 5

[sshd]

port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

În /etc/fail2ban/jail.d/defaults-debian.conf:

[sshd]
enabled = true

Deoarece conținutul din cele două fișiere de configurare de mai sus s-ar putea schimba în actualizările viitoare ale sistemului, ar trebui să creezi un fișier de configurație local pentru a stoca propriile reguli de filtrare fail2ban. Din nou, setările din acest fișier vor înlocui setările corespunzătoare din cele două fișiere menționate mai sus.

vi /etc/fail2ban/jail.d/jail-debian.local

Introduceți următoarele linii:

[sshd]
port = 38752
maxentry = 3

Notă: Asigurați-vă că utilizați propriul port SSH. Cu excepția portși a maxentrymenționat mai sus, toate celelalte setări vor utiliza valorile implicite.

Salvează și închide:

:wq

Reporniți serviciul Fail2ban pentru a încărca noua configurație:

service fail2ban restart

Configurarea noastră este completă. De acum înainte, dacă orice mașină trimite credențe SSH incorecte către portul SSH ( 38752) personalizat al serverului Debian de mai mult de trei ori, IP-ul acestei mașini potențial rău intenționate va fi interzis timp de 600 de secunde.