Как настроить Fail2ban на Debian 9

• Предпосылки
• Шаг 1: Обновите систему
• Шаг 2. Измените порт SSH (необязательно)
• Шаг 3: Установите и настройте fail2ban для защиты SSH

Fail2ban, как следует из названия, - это утилита, предназначенная для защиты компьютеров Linux от атак методом перебора на выбранные открытые порты, особенно порт SSH. Ради функциональности и управления системой эти порты нельзя закрыть с помощью брандмауэра. В этом случае рекомендуется использовать Fail2ban в качестве дополнительной меры безопасности для межсетевого экрана, чтобы ограничить трафик атаки методом перебора на этих портах.

В этой статье я покажу вам, как установить и настроить Fail2ban для защиты порта SSH, наиболее распространенной цели атаки, на экземпляре сервера Vultr Debian 9.

Предпосылки

• Свежий экземпляр сервера Debian 9 (Stretch) x64.
• Вы вошли как root.
• Все неиспользуемые порты были заблокированы с соответствующими правилами IPTables.

Шаг 1: Обновите систему

apt update && apt upgrade -y
shutdown -r now

После загрузки системы снова войдите в систему как root.

Шаг 2. Измените порт SSH (необязательно)

Поскольку номер порта SSH по умолчанию 22слишком популярен, чтобы его игнорировать, изменение его на менее известный номер порта, скажем, 38752было бы разумным решением.

sed -i "s/#Port 22/Port 38752/g" /etc/ssh/sshd_config
systemctl restart sshd.service

После внесения изменений необходимо соответствующим образом обновить правила IPTables:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 38752 -j ACCEPT

Сохраните обновленные правила IPTables в файл для постоянства:

iptables-save > /etc/iptables.up.rules
touch /etc/network/if-pre-up.d/iptables
chmod +x /etc/network/if-pre-up.d/iptables
echo '#!/bin/sh' >> /etc/network/if-pre-up.d/iptables
echo '/sbin/iptables-restore < /etc/iptables.up.rules' >> /etc/network/if-pre-up.d/iptables

Таким образом, правила IPTables будут постоянными даже после перезагрузки системы. Отныне вам нужно будет входить через 38752порт.

Шаг 3: Установите и настройте fail2ban для защиты SSH

Используйте aptдля установки стабильной версии Fail2ban, которая в настоящее время 0.9.x:

apt install fail2ban -y

После установки служба Fail2ban запустится автоматически. Вы можете использовать следующую команду, чтобы показать ее статус:

service fail2ban status

В Debian настройки фильтра Fail2ban по умолчанию будут храниться как в /etc/fail2ban/jail.confфайле, так и в /etc/fail2ban/jail.d/defaults-debian.confфайле. Помните, что настройки в последнем файле переопределяют соответствующие настройки в предыдущем.

Используйте следующие команды для просмотра более подробной информации:

cat /etc/fail2ban/jail.conf | less
cat /etc/fail2ban/jail.d/defaults-debian.conf
fail2ban-client status
fail2ban-client status sshd

Для вашего сведения, выдержки из кода о SSH перечислены ниже:

В /etc/fail2ban/jail.conf:

[DEFAULT]

bantime = 600
...
maxentry = 5

[sshd]

port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

В /etc/fail2ban/jail.d/defaults-debian.conf:

[sshd]
enabled = true

Поскольку содержимое этих двух файлов конфигурации может измениться в будущих обновлениях системы, вам следует создать локальный файл конфигурации для хранения собственных правил фильтрации fail2ban. Опять же, настройки в этом файле переопределят соответствующие настройки в двух файлах, упомянутых выше.

vi /etc/fail2ban/jail.d/jail-debian.local

Введите следующие строки:

[sshd]
port = 38752
maxentry = 3

Примечание. Обязательно используйте собственный порт SSH. За исключением portи maxentryупомянутых выше, все остальные настройки будут использовать значения по умолчанию.

Сохранить и выйти:

:wq

Перезапустите сервис Fail2ban для загрузки новой конфигурации:

service fail2ban restart

Наша установка завершена. С этого момента, если какой-либо компьютер отправляет неверные учетные данные SSH на пользовательский SSH-порт сервера Debian ( 38752) более трех раз, IP-адрес этого потенциально вредоносного компьютера будет заблокирован на 600 секунд.