วิธีการติดตั้ง Fail2ban บน Debian 9

• ข้อกำหนดเบื้องต้น
• ขั้นตอนที่ 1: อัปเดตระบบ
• ขั้นตอนที่ 2: แก้ไขพอร์ต SSH (เลือกได้)
• ขั้นตอนที่ 3: ติดตั้งและกำหนดค่า fail2ban เพื่อปกป้อง SSH

Fail2ban ตามชื่อของมันคือเครื่องมือที่ได้รับการออกแบบมาเพื่อช่วยปกป้องเครื่อง Linux จากการโจมตีแบบไม่ดุเดือดในพอร์ตที่เลือกโดยเฉพาะพอร์ต SSH เพื่อประโยชน์ของระบบและการจัดการพอร์ตเหล่านี้ไม่สามารถปิดได้โดยใช้ไฟร์วอลล์ ภายใต้สถานการณ์เช่นนี้เป็นความคิดที่ดีที่จะใช้ Fail2ban เป็นมาตรการรักษาความปลอดภัยเพิ่มเติมสำหรับไฟร์วอลล์เพื่อ จำกัด ทราฟฟิกของการโจมตีแบบ brute-force ในพอร์ตเหล่านี้

ในบทความนี้ฉันจะแสดงวิธีการติดตั้งและกำหนดค่า Fail2ban เพื่อปกป้องพอร์ต SSH เป้าหมายการโจมตีที่พบบ่อยที่สุดบนเซิร์ฟเวอร์ Vultr Debian 9

ข้อกำหนดเบื้องต้น

• อินสแตนซ์เซิร์ฟเวอร์ x 64 Debian ใหม่ (ยืด)
• rootเข้าสู่ระบบเป็น
• พอร์ตที่ไม่ได้ใช้งานทั้งหมดถูกบล็อกด้วยกฎ IPTables ที่เหมาะสม

ขั้นตอนที่ 1: อัปเดตระบบ

apt update && apt upgrade -y
shutdown -r now

rootหลังจากบูทระบบขึ้นกลับเข้าสู่ระบบเป็น

ขั้นตอนที่ 2: แก้ไขพอร์ต SSH (เลือกได้)

เนื่องจากหมายเลขพอร์ต SSH เริ่มต้น22นั้นเป็นที่นิยมเกินกว่าที่จะเพิกเฉยการเปลี่ยนเป็นหมายเลขพอร์ตที่รู้จักกันน้อยกว่านั้น38752จะถือว่าเป็นการตัดสินใจที่ชาญฉลาด

sed -i "s/#Port 22/Port 38752/g" /etc/ssh/sshd_config
systemctl restart sshd.service

หลังจากการแก้ไขคุณต้องอัปเดตกฎ IPTables ตามลำดับ:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 38752 -j ACCEPT

บันทึกกฎ IPTables ที่อัปเดตไปยังไฟล์เพื่อจุดประสงค์ในการคงอยู่:

iptables-save > /etc/iptables.up.rules
touch /etc/network/if-pre-up.d/iptables
chmod +x /etc/network/if-pre-up.d/iptables
echo '#!/bin/sh' >> /etc/network/if-pre-up.d/iptables
echo '/sbin/iptables-restore < /etc/iptables.up.rules' >> /etc/network/if-pre-up.d/iptables

ในลักษณะนี้กฎ IPTables จะยังคงอยู่แม้หลังจากรีบูตระบบ จากนี้ไปคุณจะต้องลงชื่อเข้าใช้จาก38752พอร์ต

ขั้นตอนที่ 3: ติดตั้งและกำหนดค่า fail2ban เพื่อปกป้อง SSH

ใช้aptเพื่อติดตั้ง Fail2ban เวอร์ชันเสถียรซึ่งปัจจุบัน0.9.x:

apt install fail2ban -y

หลังจากการติดตั้งบริการ Fail2ban จะเริ่มโดยอัตโนมัติ คุณสามารถใช้คำสั่งต่อไปนี้เพื่อแสดงสถานะ:

service fail2ban status

บน Debian การตั้งค่าตัวกรอง Fail2ban เริ่มต้นจะถูกเก็บไว้ทั้งใน/etc/fail2ban/jail.confไฟล์และ/etc/fail2ban/jail.d/defaults-debian.confไฟล์ โปรดจำไว้ว่าการตั้งค่าในไฟล์หลังจะแทนที่การตั้งค่าที่เกี่ยวข้องในอดีต

ใช้คำสั่งต่อไปนี้เพื่อดูรายละเอียดเพิ่มเติม:

cat /etc/fail2ban/jail.conf | less
cat /etc/fail2ban/jail.d/defaults-debian.conf
fail2ban-client status
fail2ban-client status sshd

สำหรับข้อมูลของคุณรหัสที่ตัดตอนมาเกี่ยวกับ SSH มีการระบุไว้ด้านล่าง:

ใน/etc/fail2ban/jail.conf:

[DEFAULT]

bantime = 600
...
maxentry = 5

[sshd]

port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

ใน/etc/fail2ban/jail.d/defaults-debian.conf:

[sshd]
enabled = true

เนื่องจากเนื้อหาในไฟล์กำหนดค่าสองไฟล์ด้านบนอาจมีการเปลี่ยนแปลงในการอัปเดตระบบในอนาคตคุณควรสร้างไฟล์กำหนดค่าท้องถิ่นเพื่อเก็บกฎตัวกรอง fail2ban ของคุณเอง อีกครั้งการตั้งค่าในไฟล์นี้จะแทนที่การตั้งค่าที่เกี่ยวข้องในสองไฟล์ที่กล่าวถึงข้างต้น

vi /etc/fail2ban/jail.d/jail-debian.local

ป้อนบรรทัดต่อไปนี้:

[sshd]
port = 38752
maxentry = 3

หมายเหตุ: โปรดใช้พอร์ต SSH ของคุณเอง ยกเว้นportและmaxentryกล่าวถึงข้างต้นการตั้งค่าอื่น ๆ ทั้งหมดจะใช้ค่าเริ่มต้น

บันทึกและออก:

:wq

เริ่มบริการ Fail2ban เพื่อโหลดการกำหนดค่าใหม่:

service fail2ban restart

การตั้งค่าของเราเสร็จสมบูรณ์ จากนี้ไปหากเครื่องใด ๆ ส่งข้อมูลรับรอง SSH ไม่ถูกต้องไปยังพอร์ต SSH ที่กำหนดเองของเซิร์ฟเวอร์ Debian ( 38752) มากกว่าสามครั้ง IP ของเครื่องที่อาจเป็นอันตรายนี้จะถูกแบนเป็นเวลา 600 วินาที