Как настроить Fail2Ban на CentOS

• Введение в Fail2Ban
• Установка Fail2Ban
• Настройка параметров Fail2Ban
• Настройка Fail2Ban для защиты SSH
• Запуск сервиса Fail2Ban
• Как отследить неудачные попытки входа

Введение в Fail2Ban

По умолчанию клиент подключается к SSH через порт 22. Поскольку это широко известный порт, конфигурация по умолчанию уязвима для многих атак методом перебора. Fail2Ban - это решение для автоматической защиты сервера от этих атак. Программа работает в фоновом режиме, сканирует файлы журналов, чтобы определить, какие IP-адреса атакуют, и ав��оматически запрещает им доступ к SSH.

Установка Fail2Ban

В этом руководстве мы установим Fail2Ban в CentOS 6 через репозиторий EPEL. Запустите следующие команды.

yum install epel-release
yum install fail2ban

объяснение

• yum install epel-release: Устанавливает EPEL-репозиторий (дополнительные пакеты для корпоративного Linux).
• yum install fail2ban: Устанавливает Fail2Ban из репозитория EPEL.

Настройка параметров Fail2Ban

Откройте файл конфигураци�� Fail2Ban.

nano /etc/fail2ban/jail.conf

В файле вы увидите некоторые параметры, как показано ниже. Настройте любое значение в соответствии с вашими потребностями.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
ignoreip = 127.0.0.1

# "bantime" is the number of seconds that a host is banned.
bantime = 600

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime = 600

# "maxretry" is the number of failures before a host get banned.
maxretry = 3

объяснение

• ignoreip: Не запрещайте хосты, которые соответствуют адресу в этом списке. Несколько адресов могут быть определены с помощью разделителя пробелов. Напишите свой личный IP на этой линии.
• bantime: Количество секунд, которое хост запрещен.
• findtime: Хост забанен, если он был сгенерирован maxretryв последний раз findtime.
• maxretry: Количество сбоев перед блокировкой хоста.

Настройка Fail2Ban для защиты SSH

Сначала нам нужно создать файл конфигурации.

nano /etc/fail2ban/jail.local

Скопируйте строки ниже и вставьте в файл.

[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
#           sendmail-whois[name=SSH, dest=root, sender=fail2ban@example.com]
logpath  = /var/log/secure
maxretry = 5

• enabled: Активировать защиту. Если вы хотите отключить его, измените значение на false.
• filterПо умолчанию установлено значение sshd, которое ссылается на файл /etc/fail2ban/filter.d/sshd.conf.
• action: Fail2Ban забанит IP, соответствующий фильтру /etc/fail2ban/action.d/iptables.conf. Если вы ранее меняли порт SSH, перейдите port=ssh, например, на новый порт port=2222. Если вы используете порт 22, вам не нужно менять значение.
• logpathПуть к файлу журнала, используемому Fail2Ban.
• maxretry: Максимальное количество неудачных попыток входа в систему.

Запуск сервиса Fail2Ban

Выполните эти две команды ниже, чтобы запустить службу Fail2Ban:

chkconfig --level 23 fail2ban on
service fail2ban start

Наконец, проверьте, есть iptablesли у него правила, добавленные Fail2Ban.

iptables -L

Результат будет похож на этот вывод.

Chain INPUT (policy ACCEPT)
target prot opt source destination
f2b-SSH tcp -- anywhere anywhere tcp dpt:EtherNet/IP-1

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain f2b-SSH (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Как отследить неудачные попытки входа

Вы можете использовать эту команду, чтобы проверить, были ли на вашем сервере неудачные попытки входа в систему (возможные атаки).

cat /var/log/secure | grep 'Failed password'

Результат будет похож на эти строки.

Dec  6 22:47:12 vultr sshd[7942]: Failed password for root from 43.229.53.67 port 23021 ssh2
Dec  6 22:47:15 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:16 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:18 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:31 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:34 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:36 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:39 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:41 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:43 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:47 vultr sshd[7952]: Failed password for root from 43.229.53.67 port 62846 ssh2
Dec  6 22:47:49 vultr sshd[7952]: Failed password for root from 43.229.53.67 port 62846 ssh2

Чтобы просмотреть, какие IP-адреса были заблокированы, используйте следующую команду.

iptables -L -n

Чтобы удалить IP-адрес из списка запрещенных, выполните следующую команду. Измените banned_ipна IP, который вы хотите разблокировать.

iptables -D f2b-SSH -s banned_ip -j DROP