CentOS Üzerinde Fail2Ban Kurulumu

• Fail2Ban'a Giriş
• Fail2Ban Kurulumu
• Fail2Ban ayarlarını yapılandırma
• SSH'yi korumak için Fail2Ban'ı yapılandırma
• Fail2Ban hizmetini başlatma
• Başarısız giriş denemeleri nasıl izlenir

Fail2Ban'a Giriş

Varsayılan olarak, istemci 22 numaralı bağlantı noktasını kullanarak SSH'ye bağlanır. Bu iyi bilinen bir bağlantı noktası olduğundan, varsayılan yapılandırma birçok kaba kuvvet saldırısına karşı savunmasızdır. Fail2Ban, bir sunucuyu bu saldırılara karşı otomatik olarak korumak için bir çözümdür. Program arka planda çalışır, hangi IP'lerin saldırdığını tespit etmek için günlük dosyalarını tarar ve otomatik olarak SSH'ye erişmesini yasaklar.

Fail2Ban Kurulumu

Bu derste, EPEL deposu aracılığıyla CentOS 6'ya Fail2Ban kuracağız. Aşağıdaki komutları çalıştırın.

yum install epel-release
yum install fail2ban

açıklama

• yum install epel-release: EPEL havuzunu (Enterprise Linux için Ekstra Paketler) kurar.
• yum install fail2ban: EPEL deposundan Fail2Ban'ı kurar.

Fail2Ban ayarlarını yapılandırma

Fail2Ban yapılandırma dosyasını açın.

nano /etc/fail2ban/jail.conf

Dosyada, aşağıda gösterildiği gibi bazı parametreler göreceksiniz. Değerlerden herhangi birini ihtiyaçlarınıza göre ayarlayın.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
ignoreip = 127.0.0.1

# "bantime" is the number of seconds that a host is banned.
bantime = 600

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime = 600

# "maxretry" is the number of failures before a host get banned.
maxretry = 3

açıklama

• ignoreip: Bu listedeki bir adresle eşleşen ana bilgisayarları yasaklamayın. Boşluk ayırıcı kullanılarak çeşitli adresler tanımlanabilir. Kişisel IP'nizi bu satıra yazın.
• bantime: Bir ana bilgisayarın yasaklandığı saniye sayısı.
• findtime: Bir ana bilgisayar maxretryson sırasında oluşturulmuşsa yasaklanmıştır findtime.
• maxretry: Bir ana bilgisayarın yasaklanmasından önceki hata sayısı.

SSH'yi korumak için Fail2Ban'ı yapılandırma

İlk olarak, bir yapılandırma dosyası oluşturmamız gerekiyor.

nano /etc/fail2ban/jail.local

Aşağıdaki satırları kopyalayın ve dosyaya yapıştırın.

[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
#           sendmail-whois[name=SSH, dest=root, sender=fail2ban@example.com]
logpath  = /var/log/secure
maxretry = 5

• enabled: Korumayı etkinleştirin. Kapatmak istiyorsanız, değeri false olarak değiştirin.
• filter: Varsayılan olarak, dosyaya gönderme yapan sshd olarak ayarlanmıştır /etc/fail2ban/filter.d/sshd.conf.
• action: Fail2Ban filtreyle eşleşen IP'yi yasaklar /etc/fail2ban/action.d/iptables.conf. SSH bağlantı noktasını daha önce değiştirdiyseniz port=ssh, örneğin yeni bağlantı noktasına geçin port=2222. Bağlantı noktası 22 kullanıyorsanız, değeri değiştirmeniz gerekmez.
• logpath: Fail2Ban tarafından kullanılan günlük dosyasının yolu.
• maxretry: Maksimum başarısız giriş denemesi sayısı.

Fail2Ban hizmetini başlatma

Fail2Ban hizmetini başlatmak için aşağıdaki iki komutu çalıştırın:

chkconfig --level 23 fail2ban on
service fail2ban start

Son olarak, iptablesFail2Ban tarafından eklenen kurallara sahip olup olmadığını kontrol edin .

iptables -L

Sonuç bu çıktıya benzer olacaktır.

Chain INPUT (policy ACCEPT)
target prot opt source destination
f2b-SSH tcp -- anywhere anywhere tcp dpt:EtherNet/IP-1

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain f2b-SSH (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Başarısız giriş denemeleri nasıl izlenir

Sunucunuzda oturum açma girişimlerinin başarısız olup olmadığını (olası saldırılar) kontrol etmek için bu komutu kullanabilirsiniz.

cat /var/log/secure | grep 'Failed password'

Sonuç bu çizgilere benzer.

Dec  6 22:47:12 vultr sshd[7942]: Failed password for root from 43.229.53.67 port 23021 ssh2
Dec  6 22:47:15 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:16 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:18 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:31 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:34 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:36 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:39 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:41 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:43 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:47 vultr sshd[7952]: Failed password for root from 43.229.53.67 port 62846 ssh2
Dec  6 22:47:49 vultr sshd[7952]: Failed password for root from 43.229.53.67 port 62846 ssh2

Hangi IP'lerin yasaklandığını görüntülemek için aşağıdaki komutu kullanın.

iptables -L -n

Bir IP adresini yasaklı listeden silmek için aşağıdaki komutu çalıştırın. Yasağını banned_ipkaldırmak istediğiniz IP olarak değiştirin .

iptables -D f2b-SSH -s banned_ip -j DROP