Debian 9 Üzerinde Fail2ban Kurulumu

• Ön şartlar
• 1. Adım: Sistemi güncelleyin
• 2. Adım: SSH bağlantı noktasını değiştirin (İsteğe bağlı)
• Adım 3: SSH'yi korumak için fail2ban'ı kurun ve yapılandırın

Fail2ban, adından da anlaşılacağı gibi, Linux makinelerini belirli açık portlara, özellikle SSH portuna kaba kuvvet saldırılarına karşı korumaya yardımcı olmak için tasarlanmış bir yardımcı programdır. Sistem işlevselliği ve yönetimi uğruna, bu bağlantı noktaları bir güvenlik duvarı kullanılarak kapatılamaz. Bu durumda, Fail2ban'ı bu bağlantı noktalarındaki kaba kuvvet saldırı trafiğini kısıtlamak için bir güvenlik duvarına ek güvenlik önlemi olarak kullanmak iyi bir fikirdir.

Bu makalede, bir Vultr Debian 9 sunucu örneğinde en yaygın saldırı hedefi olan SSH bağlantı noktasını korumak için Fail2ban'ı nasıl yükleyeceğinizi ve yapılandıracağınızı göstereceğim.

Ön şartlar

• Yeni bir Debian 9 (Stretch) x64 sunucu örneği.
• Olarak giriş yapıldı root.
• Kullanılmayan tüm bağlantı noktaları uygun IPTable kurallarıyla engellenmiştir.

1. Adım: Sistemi güncelleyin

apt update && apt upgrade -y
shutdown -r now

Sistem önyükleme yaptıktan sonra, olarak tekrar oturum açın root.

2. Adım: SSH bağlantı noktasını değiştirin (İsteğe bağlı)

Varsayılan SSH bağlantı noktası numarası 22göz ardı edilemeyecek kadar popüler olduğundan, daha az bilinen bir bağlantı noktası numarasına dönüştürmek 38752akıllıca bir karar olacaktır.

sed -i "s/#Port 22/Port 38752/g" /etc/ssh/sshd_config
systemctl restart sshd.service

Değişiklikten sonra, IPTable kurallarını uygun şekilde güncellemeniz gerekir:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 38752 -j ACCEPT

Güncellenmiş IPTable kurallarını kalıcılık amacıyla bir dosyaya kaydedin:

iptables-save > /etc/iptables.up.rules
touch /etc/network/if-pre-up.d/iptables
chmod +x /etc/network/if-pre-up.d/iptables
echo '#!/bin/sh' >> /etc/network/if-pre-up.d/iptables
echo '/sbin/iptables-restore < /etc/iptables.up.rules' >> /etc/network/if-pre-up.d/iptables

Bu şekilde, IPTables kuralları bir sistem yeniden başlatıldıktan sonra bile kalıcı olacaktır. Şu andan itibaren, 38752bağlantı noktasından giriş yapmanız gerekecek .

Adım 3: SSH'yi korumak için fail2ban'ı kurun ve yapılandırın

aptŞu anda Fail2ban'ın kararlı sürümünü yüklemek için kullanın 0.9.x:

apt install fail2ban -y

Kurulumdan sonra, Fail2ban servisi otomatik olarak başlayacaktır. Durumunu göstermek için aşağıdaki komutu kullanabilirsiniz:

service fail2ban status

Debian'da, varsayılan Fail2ban filtre ayarları hem /etc/fail2ban/jail.confdosyada hem de dosyada saklanır /etc/fail2ban/jail.d/defaults-debian.conf. İkinci dosyadaki ayarların önceki dosyadaki ilgili ayarları geçersiz kılacağını unutmayın.

Daha fazla ayrıntı görüntülemek için aşağıdaki komutları kullanın:

cat /etc/fail2ban/jail.conf | less
cat /etc/fail2ban/jail.d/defaults-debian.conf
fail2ban-client status
fail2ban-client status sshd

Bilginiz için SSH ile ilgili kod alıntıları aşağıda listelenmiştir:

İçinde /etc/fail2ban/jail.conf:

[DEFAULT]

bantime = 600
...
maxentry = 5

[sshd]

port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

İçinde /etc/fail2ban/jail.d/defaults-debian.conf:

[sshd]
enabled = true

Yukarıdaki iki yapılandırma dosyasındaki içerik gelecekteki sistem güncellemelerinde değişebileceğinden, kendi fail2ban filtre kurallarınızı saklamak için yerel bir yapılandırma dosyası oluşturmanız gerekir. Yine, bu dosyadaki ayarlar yukarıda belirtilen iki dosyadaki ilgili ayarları geçersiz kılar.

vi /etc/fail2ban/jail.d/jail-debian.local

Aşağıdaki satırları girin:

[sshd]
port = 38752
maxentry = 3

Not: Kendi SSH bağlantı noktanızı kullandığınızdan emin olun. Yukarıda belirtilenler portve maxentryyukarıda belirtilenler dışında , diğer tüm ayarlar varsayılan değerleri kullanır.

Kaydet ve çık:

:wq

Yeni yapılandırmayı yüklemek için Fail2ban hizmetini yeniden başlatın:

service fail2ban restart

Kurulumumuz tamamlandı. Şu andan itibaren, herhangi bir makine Debian sunucusunun özel SSH bağlantı noktasına ( 38752) üç defadan fazla yanlış SSH kimlik bilgileri gönderirse , bu potansiyel olarak kötü niyetli makinenin IP'si 600 saniye süreyle yasaklanacaktır.