Kuidas paigaldada ja konfigureerida Fail2Ban Linuxis

Fail2Ban jälgib teie serveri logisid kahtlase tegevuse suhtes ja keelab automaatselt rikkuvad IP-d, uuendades teie tulemüürireegleid. See peatab brute-force rünnakud, vähendab logimüra ja töötab pärast seadistamist vaikselt taustal. Selles juhendis käsitletakse Ubuntu/Debianile paigaldamist, põhikonfiguratsiooni, vangla seadistamist ja mõningaid edasijõudnute võimalusi, millest tasub teada.

Eeltingimused

Fail2Ban töötab enamikus Linuxi distributsioonides: Ubuntu, Debian, AlmaLinux, CentOS, RHEL, Rocky Linux ja Fedora. Te vajate:

• Python 3 paigaldatud süsteemi
• Juurdepääs või sudo-juurdepääs pakettide paigaldamiseks ja tulemüüri muutmiseks
• Aktiivne tulemüür (iptables, nftables, ufw või firewalld)
• Logifailid, mis salvestavad ebaõnnestunud sisselogimiskatsed(/var/log/auth.log Debian-põhistes süsteemides, /var/log/secure RHEL-põhistes süsteemides)

RHEL-põhistes süsteemides aktiveerige kõigepealt EPELi repositoorium. Enne Fail2Ban'i paigaldamist kinnitage, et teie tulemüür töötab, kasutades ufw status või systemctl status firewalld.

Fail2Ban'i paigaldamine Ubuntu/Debian'ile

Uuendage oma pakette ja installige Fail2Ban:

sudo apt update && sudo apt upgrade -y
sudo apt install fail2ban

Lubage teenus, et see käivituks käivitamisel, seejärel käivitage see:

sudo systemctl enable fail2ban
sudo systemctl start fail2ban

Kopeerige vaikimisi konfigureerimine kohalikku override-faili. Redigeerige alati faili jail.local, mitte faili jail.conf, et pakettide uuendused ei kirjutaks teie seadeid üle:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Veenduge, et kõik töötab:

sudo systemctl status fail2ban
sudo fail2ban-client status

Esimene käsk peaks näitama "Active: active (running)". Teine loetleb teie aktiivsed jailid. Kinnitage, et Fail2Ban on käivitamisel lubatud sudo systemctl is-enabled fail2ban abil.

Jailide konfigureerimine

Vaikimisi seaded

Avage /etc/fail2ban/jail.local ja reguleerige jaotist [DEFAULT]. Need seaded kehtivad kõigile vanglatele, kui neid ei ole muudetud:

Lisage ignoreip'ile oma haldus-IP, et te ei lukustaks ennast välja. Näide: ignoreip = 127.0.0.1/8 ::1 203.0.113.50.

SSH kaitse

Lubage SSH jail .local'ile SSH jail:

[sshd]
enabled = true

Kontrollige, et logpath osutaks teie distributsiooni jaoks õigele logifailile. Kui olete SSH-i üle viinud mittestandardsesse porti (nt 2222), uuendage portiparameeter vastavaks.

Veebiserveri kaitse

Lubage oma veebiserverile vastav vangla:

• Nginx: [nginx-http-auth] autentimisvigade puhul, [nginx-botsearch] pahatahtlike robotite puhul
• Apache: [apache-auth] autentimise jaoks, [apache-badbots] robotite jaoks

Recidive Jail

[recidive] vangla püüab kinni IP-d, mida pidevalt keelatakse teistes vanglates, ja kohaldab pikemat karistust, tavaliselt üks nädal (604 800 sekundit). See on kasulik püsivate ründajate jaoks, kes vahetavad oma lähenemist.

Pärast muudatuste tegemist laadige uuesti:

sudo systemctl restart fail2ban
sudo fail2ban-client status

Testimine ja järelevalve

Testimiskeelud

Enne Fail2Banile tootmises toetumist testige seda. Proovige SSH-sisselogimist eemalt masinast (mitte teie administraatori IP), kuni ületate maxretry. Te peaksite olema blokeeritud. Kinnitage seda:

sudo fail2ban-client status sshd

Vaadake, kuidas keelamised toimuvad reaalajas:

tail -f /var/log/fail2ban.log

Kui keelate kogemata seadusliku IP aadressi, tühistage see:

sudo fail2ban-client set sshd unbanip 203.0.113.50

Päevast päeva jälgimine

Vaadake keelustamisajalugu logi kaudu:

grep "Ban\|Unban" /var/log/fail2ban.log

Kasulikud juhtimiskäsud:

Keelud jäävad püsima ka pärast taaskäivitamist. Fail2Ban salvestab neid SQLite andmebaasis aadressil /var/lib/fail2ban/fail2ban.sqlite3.

Täiustatud konfiguratsioon

Üleminek nftables'ile

nftables on iptablesi kaasaegne asendaja. See käsitseb IPv4 ja IPv6-i ühes raamistikus, skaleerub paremini suurte keelunimekirjadega ja omab sisseehitatud kiirusepiirangut. Kui kasutate Ubuntu 22.04+, Debian 11+ või mõnda uuemat distributsiooni, on see parem valik.

Seadistage see jail.local'is:

[DEFAULT]
banaction = nftables-multiport

Käivitage Fail2Ban uuesti, seejärel kontrollige sudo nft list ruleset'iga. Väljundis peaksite nägema f2b-table ja f2b-chain. Jääge iptablesi juurde ainult siis, kui olete vanemas süsteemis või kui teil on ühilduvusnõuded.

E-posti teated

Vaikimisi keelab Fail2Ban vaikimisi. E-postiteadete saamiseks lisage jail.local'i jaotisele [DEFAULT] järgmine tekst:

[DEFAULT]
destemail = [email protected]
sender = [email protected]
mta = sendmail
action = %(action_mwl)s

Tegevus action_mwl saadab e-kirja keelamise üksikasjadega, WHOIS-i andmetega ja keelamise vallandanud logiread. Kasutage action_mw, kui soovite ainult WHOISi andmeid. Teil on vaja paigaldatud postiülekande agenti nagu sendmail või SMTP relee, mis on konfigureeritud näiteks msmtp kaudu.

Slacki või Discordi hoiatuste jaoks looge skript, mis saadab veebikonksu ja ühendage see kohandatud tegevusfaili kaudu failis /etc/fail2ban/action.d/.

Kui otsite Fail2Ban'i käivitamiseks serverit, millel on täielik root-juurdepääs ja mittemääratud ribalaius, vaadake FDC spetsiaalseid servereid.