Kuidas installida ja konfigureerida Fail2Ban Linuxis

Fail2Ban jälgib teie serveri logisid kahtlase tegevuse suhtes ja blokeerib automaatselt rikkumisi toime pannud IP-aadressid, uuendades teie tulemüüri reegleid. See peatab jõuvõttega rünnakud, vähendab logide müra ja töötab pärast konfigureerimist vaikselt taustal. Käesolev juhend hõlmab installimist Ubuntu/Debianile, põhikonfiguratsiooni, jaili seadistamist ja mõningaid täiendavaid valikuid, millest tasub teada.

Eeltingimused

Fail2Ban töötab enamikel Linuxi distributsioonidel: Ubuntu, Debian, AlmaLinux, CentOS, RHEL, Rocky Linux ja Fedora. Vajalikud on:

• Python 3 on süsteemile installitud
• Root- või sudo-juurdepääs pakettide installimiseks ja tulemüüri muutmiseks
• Aktiivne tulemüür (iptables, nftables, ufw või firewalld)
• Logifailid, mis salvestavad ebaõnnestunud sisselogimiskatseid (/var/log/auth.log Debian-põhistes süsteemides /var/log/secure RHEL-põhistes süsteemides)

RHEL-põhistes süsteemides aktiveerige esmalt EPEL-hoidla. Enne Fail2Bani paigaldamist veenduge, et teie tulemüür töötab, kasutades käsku ufw status või systemctl status firewalld.

Fail2Bani installimine Ubuntu/Debianile

Uuendage oma paketid ja installige Fail2Ban:

sudo apt update && sudo apt upgrade -y
sudo apt install fail2ban

Luba teenus, et see käivituks käivitamisel, ja seejärel käivita see:

sudo systemctl enable fail2ban
sudo systemctl start fail2ban

Kopeerige vaikimisi konfiguratsioon kohalikku ülekirjutamisfaili. Redigeerige alati jail.local, mitte jail.conf, et paketi uuendused ei kirjutaks teie seadeid üle:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Kontrollige, kas kõik töötab:

sudo systemctl status fail2ban
sudo fail2ban-client status

Esimene käsk peaks näitama "Active: active (running)". Teine loetleb teie aktiivsed vanglad. Kinnitage, et Fail2Ban on käivitatud süsteemi käivitamisel käsuga sudo systemctl is-enabled fail2ban.

Jailide konfigureerimine

Vaikesätted

Ava /etc/fail2ban/jail.local ja kohandage [DEFAULT] . Need seaded kehtivad kõigile jailidele, kui neid ei ole ümber määratud:

Lisa oma haldus-IP ignoreip et sa end välja ei lukustaks. Näide: ignoreip = 127.0.0.1/8 ::1 203.0.113.50.

SSH-kaitse

Lülita SSH-vangla sisse jail.local:

[sshd]
enabled = true

Kontrollige, et logpath osutab teie distributsiooni jaoks õigele logifailile. Kui olete SSH-i viinud mittestandardsele pordile (nt 2222), uuendage port parameetrit vastavalt.

Veebiserveri kaitse

Luba oma veebiserverile sobiv jail:

• Nginx: [nginx-http-auth] autentimise ebaõnnestumiste puhul, [nginx-botsearch] pahatahtlike botide puhul
• Apache: [apache-auth] autentimise jaoks, [apache-badbots] botide puhul

Recidive Jail

Recidive [recidive] jail püüab kinni IP-aadressid, mis saavad pidevalt keelatud teistes jailides, ja rakendab pikemat karistust, tavaliselt ühe nädala (604 800 sekundit). See on kasulik püsivate ründajate puhul, kes vahetavad oma lähenemisviisi.

Pärast muudatuste tegemist laadige leht uuesti:

sudo systemctl restart fail2ban
sudo fail2ban-client status

Testimine ja seire

Keeldude testimine

Enne kui tootmiskeskkonnas Fail2Bani kasutamist alustate, testige seda. Proovige kaugmasinast (mitte oma administraatori IP-aadressilt) sisse logida SSH-protokolli kaudu, kuni ületate maxretry. Teid peaks blokeerima. Kinnitage seda järgmiselt:

sudo fail2ban-client status sshd

Vaadake blokeeringuid reaalajas:

tail -f /var/log/fail2ban.log

Kui blokeerite kogemata õigustatud IP-aadressi, tühistage blokeering:

sudo fail2ban-client set sshd unbanip 203.0.113.50

Igapäevane seire

Vaadake blokeerimiste ajalugu, otsides logist:

grep "Ban\|Unban" /var/log/fail2ban.log

Kasulikud halduskäsud:

Keelud jäävad kehtima ka pärast taaskäivitamist. Fail2Ban salvestab need SQLite andmebaasi aadressil /var/lib/fail2ban/fail2ban.sqlite3.

Täpsemad seaded

Üleminek nftablesile

nftables on iptablesi kaasaegne asendaja. See toetab IPv4 ja IPv6 ühes raamistikus, skaleerub paremini suurte keelustamisnimekirjadega ja omab sisseehitatud kiiruspiirangut. Kui kasutate Ubuntu 22.04+, Debian 11+ või mõnda muud uuemat distributsiooni, on see parem valik.

Seadistage see jail.local:

[DEFAULT]
banaction = nftables-multiport

Taaskäivitage Fail2Ban ja kontrollige seejärel sudo nft list ruleset. Peaksite nägema f2b-table ja f2b-chain . Jääge iptables'i juurde ainult siis, kui kasutate vanemat süsteemi või teil on ühilduvusnõuded.

E-posti teated

Vaikimisi blokeerib Fail2Ban vaikimisi. E-posti teavituste saamiseks lisage järgmine tekst faili [DEFAULT] jaotisesse jail.local:

[DEFAULT]
destemail = [email protected]
sender = [email protected]
mta = sendmail
action = %(action_mwl)s

The action_mwl saadab e-kirja, milles on keelu üksikasjad, WHOIS-andmed ja keelu põhjustanud logiridad. Kasutage action_mw , kui soovite ainult WHOIS-andmeid. Teil peab olema installitud meiliedastusagent, nagu sendmail, või konfigureeritud SMTP-edastus, näiteks msmtp.

Slacki või Discordi teavituste jaoks looge skript, mis saadab webhooki, ja ühendage see kohandatud tegevusfaili kaudu /etc/fail2ban/action.d/.

Kui otsite Fail2Bani käitamiseks serverit täieliku root-juurdepääsu ja piiramatu ribalaiusega, vaadake FDC pühendatud servereid.