Kā instalēt un izmantot Fail2ban Linux servera drošībai

Visu veidu organizācijās neatkarīgi no izmantotās informācijas veida vai tai piederošo lietotāju skaita, vienmēr kā personālam sistēmās vai IT jomā mums ir jānodrošina, ka drošība ir tās galvenais faktors, bet, ja tiek pārvaldīta viena vai vairākas . vairāk serveru.

Kad mēs runājam par serveriem ar Linux izplatīšanu, daudzas reizes mēs domājam, ka tie ir atbrīvoti no uzbrukumiem, taču bieži mainīgajā tiešsaistes pasaulē vairs nav drošas sistēmas un jebkura izplatīšana ir pakļauta ļaunprātīgas programmatūras, vīrusu, DDOS uzbrukumu un daudzu citu uzbrukumiem. vairāk. Kā administratoriem vai lietotājiem, kuriem ir piekļuve notikumiem un serveru žurnāliem, ir normāli atklāt brutāla spēka pieteikšanās mēģinājumus, tīmekļa plūdus, izmantotāju meklēšanu un citus draudus, kas vienā vai otrā veidā var radīt informācijas integritāti un pieejamību.

Tāpēc ir jāizmanto rīki, kas nodrošina mums vislabākās drošības iespējas un alternatīvas; Un padomājot par to, Solvetic paskaidros, kā izmantot Fail2ban, lai noteiktu un aizsargātu mūsu Linux operētājsistēmas.

Kas ir Fail2ban?Fail2ban ir izstrādāta kā ielaušanās novēršanas programmatūra, kas analizē servera žurnālfailus, piemēram, / var / log / apache / error_log, un tādējādi aizliedz IP adreses, kurās ir ļaunprātīgas pazīmes, ņemot vērā tādus aspektus kā pārāk daudz kļūdu parolēs, ievainojamības meklēšana utt. .

Parasti Fail2Ban tiek izmantots, lai atjauninātu ugunsmūra noteikumus tā, lai tas noteiktu laiku noraidītu IP adreses, taču jūs varat arī konfigurēt citu noteikumu, kas varētu apdraudēt sistēmas drošību. Lai gan Fail2Ban var samazināt neveiksmīgu autentifikācijas mēģinājumu skaitu sistēmā, ir ideāli, ja autentifikācijas metodes nav vājas. Šim nolūkam mēs varam konfigurēt pakalpojumus, lai izmantotu tikai divus faktorus vai publiskos / privātos autentifikācijas mehānismus, lai aizsargātu pakalpojumus Linux.

Prasības Fail2ban lietošanai
Vienīgā atkarība, kas mums būs nepieciešama, lai izmantotu Fail2ban, būs Python, atkarībā no vēlamās versijas tā būs šāda:

  • Fail2ban filiāle 0.9.x: Python> = 2.6 vai Python> = 3.2
  • Fail2ban filiāle 0.8.x: Python> = 2.4
Pēc izvēles Fail2ban var pieprasīt šādus vienumus:
  • Netfilter / Iptables
  • Shorewall
  • TCP iesaiņotājs
  • Pasta skripts
  • Ipset

Fail2ban funkcijas
Fail2ban pašreizējā versija ir 0.9.x, kas mums piedāvā tādas funkcijas kā:

  • Darbības, kuru pamatā ir Python.
  • Datu bāzes atbalsts.
  • Daudzrindu analīze filtros.
  • Pielāgots datuma un laika atbalsts filtriem.
  • Laika joslas atpazīšana pēc noklusējuma.
  • Aizlieguma komandu taimauts.
  • Atpazīšanas rakstzīmju kopa žurnāla failos.
  • Python3 + atbalsts
  • Klienta / servera arhitektūra.
  • Vairāku pavedienu.
  • Ļoti konfigurējams, izmantojot sadalītus konfigurācijas failus.
  • Pēc noklusējuma tas izmanto Netfilter / Iptables, taču būs iespējams izmantot arī TCP Wrapper un daudzus citus pieejamos ugunsmūrus.
  • Tas ļauj vienlaikus apstrādāt vairākus pakalpojumus, piemēram, sshd, apache, vsftp un citus.
  • Lai aizliegtu šo adresi, izpildiet komandas, ja modelis tiek atklāts vienai un tai pašai IP adresei vairāk nekā X reizes.

1. Kā instalēt Fail2ban operētājsistēmā Linux

PiezīmeŠajā gadījumā mēs izmantosim CentOS 7

1. darbība
Lai instalētu Fail2ban, mēs izpildīsim šādas komandas to secībā:

Atjauniniet sistēmu

 yum atjauninājums

Instalējiet EPEL krātuves
 yum instalēt epel-release

Mēs ievadām burtu y, lai apstiprinātu EPEL repozitorija lejupielādi un instalēšanu.

2. solis
Pēc tam mēs instalējam Fail2ban, izpildot:

 yum instalēt fail2ban 

3. solis
Pēc šīs analīzes mēs redzēsim, ka tiks instalētas visas Fail2ban atkarības. Mēs pieņemam Fail2ban lejupielādi un instalēšanu.

4. solis
Ja izmantojat Debian vai Ubuntu, mums ir jāveic šādas darbības:

 apt-get update && apt-get upgrade -y apt-get install fail2ban
Pēc izvēles mēs varam iespējot pasta atbalstu pasta paziņojumiem, instalējot sendmail šādi:

CentOS / RHEL

 yum instalēt sendmail

Debian / Ubuntu

 apt-get instalēt sendmail-bin sendmail

5. solis
Pēc tam mēs iespējosim Fail2ban un Sendmail, izmantojot šādas komandas:

 systemctl start fail2ban systemctl iespējot fail2ban systemctl start sendmail systemctl iespējot sendmail

2. Kā konfigurēt Fail2ban operētājsistēmā Linux


Pēc noklusējuma Fail2ban izmanto .conf failus, kas atrodas direktorijā / etc / fail2ban /; kam piekļūstat vispirms, bet tos var aizstāt ar .local failiem, kas atrodas tajā pašā direktorijā.

Tādējādi .local failā nav jāiekļauj visi .conf faila iestatījumi, bet tikai tie, kurus mēs vēlamies ieviest sistēmas drošībai. Lai izvairītos no izmaiņu pārrakstīšanas, atjauninot pakotni fail2ban, visas izmaiņas ir jāveic tajos .local failos, kas nav .conf.

1. darbība
Šim nolūkam mēs nokopēsim esošo fail2 fail.conf failu fail2ban.local šādi:

 cp /etc/fail2ban/fail2ban.conf /etc/fail2ban/fail2ban.local

2. solis
Tagad būs iespējams veikt izmaiņas lokālajā failā, kas izveidots, izmantojot teksta redaktoru, vērtības, kuras mēs varam rediģēt:

loglevelŠis ir ierakstu glabāšanas līmenis. Tur mums ir tādas iespējas kā:

  • KRITISKS
  • KĻŪDA
  • BRĪDINĀJUMS
  • PAZIŅOJUMS
  • INFO
  • DEBUG

logtargetTur darbības tiek ierakstītas noteiktā failā, noklusējuma vērtība ir /var/log/fail2ban.log un izmantojamās iespējas:

  • STDOUT: jebkādu datu izvade.
  • STDERR: ģenerē jebkuru kļūdu.
  • SYSLOG: uz ziņojumiem balstīts žurnāls.
  • Fails: izvade failā

kontaktligzdaTas ir direktorijs, kurā atradīsies ligzdas fails.

PidfileTā ir pid faila atrašanās vieta.

3. Kā konfigurēt Fail2ban jail.local operētājsistēmā Linux


Fail2ban viens no svarīgākajiem failiem ir jail.conf, kas nosaka cietumus vai aizsardzības pasākumus. Tur jums ir jādefinē pakalpojumi, kuriem jāiespējo Fail2ban.

1. darbība
Mēs izveidosim failu jail.local, lai varētu piemērot izmaiņas, tāpēc mēs izpildām:

 cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Mēs piekļūstam šim vietējam failam, izmantojot šādu sintaksi:
 nano /etc/fail2ban/jail.local
Tur mēs atrodam aizmugures līniju un rediģējam noklusējuma vērtību Auto uz systemd:

PiezīmeUbuntu vai Debian gadījumā šī modifikācija nebūs nepieciešama.

2. solis
Fails jail.local pēc noklusējuma iespējo SSH Debian un Ubuntu, bet ne CentOS, tāpēc, ja mēs vēlamies iespējot SSH, mēs pievienosim rindu enabled = true zem [sshd]:

4. Kā konfigurēt aizlieguma un atkārtotas mēģināšanas laikus Fail2ban Linux


Izmantojot Fail2ban, mēs varam konfigurēt veidu, kādā tiek bloķēta IP adrese. Šim nolūkam; Šim nolūkam Fail2ban izmanto bantime, findtime un maxretry.

bantimeNorāda, cik sekundes IP adrese paliks aizliegta (pēc noklusējuma 10 minūtes).

Atrašanas laiksTas ir laiks starp pieteikšanās mēģinājumiem, pirms tiek noņemts resursdators. (noklusējuma 10 min)

maksAttiecas uz mēģinājumu skaitu, kas jāveic pirms aizlieguma piemērošanas. (pēc noklusējuma 3 mēģinājumi).

5. Kā konfigurēt baltajā sarakstā iekļautās IP adreses Fail2ban Linux


Fail2ban baltajam sarakstam ir iespējams pievienot IP adreses (atļauts). Lai to izdarītu, failā jail.local ir jāatceļ šāda rindiņa:
 ignorēt = 127.0.0.1/8 :: 1
Tur mēs varam ievadīt IP adreses, kuras vajadzētu ignorēt. IP adreses jāatdala ar atstarpēm vai komatiem.

6. Kā izveidot e -pasta brīdinājumus Fail2ban Linux


Šī opcija ir ideāla, ja vēlamies saņemt brīdinājumus par izmaiņām vai jaunumiem ierakstos. Lai to izdarītu, mums ir jārediģē /etc/fail2ban/jail.local fails, šādas iespējas:

e -pastsTā ir e -pasta adrese, kurā tiks saņemts paziņojums.

Sūtīt lietotājvārduTas ir sūtītājs, kuru mēs redzēsim, kad ziņojums būs saņemts.

SūtītājsNorāda e -pasta adresi, no kuras Fail2ban sūtīs e -pastus.

Noklusējuma mta (pasta pārsūtīšanas aģents) ir konfigurēts ar sendmail.

Lai saņemtu paziņojumu pa pastu, būs arī jāmaina iestatījums "Darbība" šādā rindā:

 Darbība =% (action_) s
Pēc šādas konfigurācijas:
 action =% (action_mw) s action =% (action_mwl) s
Aizliegt saimniekdatoru un nosūtīt pastu ar ziņojumu par whois
 % (action_mw) s

Tas aizliegs saimniekdatoru, ģenerēs whois informāciju un visu atbilstošo informāciju no žurnāla faila

 % (action_mwl) s

7. Papildu Fail2ban Linux konfigurācijas


Ja vēlaties konfigurēt cietumu, tas ir jāiespējo failā jail.local. Sintakse ir šāda:
 [cietums]… iespējots = taisnība
Mēs varam redzēt SSHD cietuma struktūru. Fail2ban automātiski pievieno papildu parametrus.

Tāpat būs iespējams iespējot filtru, pēc kura to var identificēt, ja reģistra rindā ir kļūda. Filtra vērtība ir atsauce uz failu ar pakalpojuma nosaukumu, kam seko .conf. Piemēram, mēs varam izmantot

 /etc/fail2ban/filter.d/sshd.conf.
Izmantojamā sintakse:
 filtrs = pakalpojums
Pievienojot cietumus, mēs varam izmantot klientu Fail2ban, lai redzētu, kuri no tiem ir aktīvi serverī, tāpēc mēs izpildām sekojošo:
 fail2ban-klienta statuss
Tur tie tiks izvietoti, kad mēs izveidosim šos ierobežojumus.

Mēs redzam, kā Fail2ban ir praktiska utilīta, lai palielinātu Linux izplatīšanas drošību, izvairoties no nesankcionētas piekļuves un visa, kas saistīts ar sliktu praksi, kas tiek veikta organizācijā.

wave wave wave wave wave