A Fail2Ban telepítése és konfigurálása Linuxon

A Fail2Ban figyeli a szerver naplóit gyanús tevékenységek után kutatva, és a tűzfal szabályainak frissítésével automatikusan letiltja a szabályt sértő IP-címeket. Megakadályozza a brute-force támadásokat, csökkenti a napló zaját, és a konfigurálás után csendesen fut a háttérben. Ez az útmutató az Ubuntu/Debian rendszerekre való telepítést, az alapvető konfigurációt, a jail beállítását, valamint néhány érdemes tudni való haladó beállítást tárgyalja.

Előfeltételek

A Fail2Ban a legtöbb Linux-disztribúción fut: Ubuntu, Debian, AlmaLinux, CentOS, RHEL, Rocky Linux és Fedora. Szükséges:

• Python 3 telepítve a rendszeren
• Root vagy sudo hozzáférés a csomagok telepítéséhez és a tűzfal beállításainak módosításához
• Aktív tűzfal (iptables, nftables, ufw vagy firewalld)
• A sikertelen bejelentkezési kísérleteket rögzítő naplófájlok (/var/log/auth.log Debian-alapú rendszereken /var/log/secure RHEL-alapú rendszereken)

RHEL-alapú rendszereken először engedélyezze az EPEL-tárat. A Fail2Ban telepítése előtt ellenőrizze, hogy a tűzfal fut-e a ufw status vagy systemctl status firewalld.

A Fail2Ban telepítése Ubuntu/Debian rendszeren

Frissítse a csomagokat, és telepítse a Fail2Ban-t:

sudo apt update && sudo apt upgrade -y
sudo apt install fail2ban

Engedélyezze a szolgáltatást, hogy a rendszerindításkor elinduljon, majd indítsa el:

sudo systemctl enable fail2ban
sudo systemctl start fail2ban

Másolja az alapértelmezett konfigurációt egy helyi felülírási fájlba. Mindig a jail.local, ne jail.conf, hogy a csomagfrissítések ne írják felül a beállításait:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Ellenőrizze, hogy minden működik-e:

sudo systemctl status fail2ban
sudo fail2ban-client status

Az első parancsnak a „Active: active (running)” üzenetet kell megjelenítenie. A második felsorolja az aktív jailjeit. Ellenőrizze, hogy a Fail2Ban rendszerindításkor engedélyezve van-e a sudo systemctl is-enabled fail2ban.

A Jails konfigurálása

Alapértelmezett beállítások

Nyissa /etc/fail2ban/jail.local és módosítsa a [DEFAULT] szakaszt. Ezek a beállítások minden jailre vonatkoznak, hacsak nem írják felül őket:

Adja hozzá saját felügyeleti IP-címét ignoreip hogy ne zárja ki magát. Példa: ignoreip = 127.0.0.1/8 ::1 203.0.113.50.

SSH védelem

Engedélyezze az SSH-börtönt a jail.local:

[sshd]
enabled = true

Ellenőrizze, hogy logpath a disztribúciójának megfelelő naplófájlra mutat-e. Ha az SSH-t egy nem szabványos porthoz (pl. 2222) helyezte át, frissítse a port paramétert ennek megfelelően.

Webszerver védelem

Engedélyezze a webszerveréhez illő jail-t:

• Nginx: [nginx-http-auth] hitelesítési hibák esetén, [nginx-botsearch] rosszindulatú botok ellen
• Apache: [apache-auth] hitelesítéshez, [apache-badbots] botok esetén

Recidive Jail

A [recidive] jail elkapja azokat az IP-címeket, amelyeket más jail-ekben folyamatosan letiltanak, és hosszabb büntetést alkalmaz, általában egy hetet (604 800 másodperc). Hasznos azoknál a kitartó támadóknál, akik változtatják a módszerüket.

A módosítások elvégzése után frissítsd az oldalt:

sudo systemctl restart fail2ban
sudo fail2ban-client status

Tesztelés és felügyelet

A tiltások tesztelése

Mielőtt a Fail2Ban-t termelésben használná, tesztelje le. Egy távoli gépről (nem az adminisztrátori IP-címéről) próbáljon meg SSH-bejelentkezéseket, amíg túllépi maxretry. A rendszernek blokkolnia kell. Ellenőrizze a következő paranccsal:

sudo fail2ban-client status sshd

Kövesse nyomon a tiltásokat valós időben:

tail -f /var/log/fail2ban.log

Ha véletlenül letilt egy jogos IP-címet, oldja fel a tiltást:

sudo fail2ban-client set sshd unbanip 203.0.113.50

Napi szintű figyelés

Tekintse át a tiltások történetét a napló grep-elésével:

grep "Ban\|Unban" /var/log/fail2ban.log

Hasznos kezelési parancsok:

A tiltások az újraindítás után is megmaradnak. A Fail2Ban egy SQLite adatbázisban tárolja őket a /var/lib/fail2ban/fail2ban.sqlite3.

Speciális beállítások

Átállás az nftables-re

Az nftables az iptables modern utódja. Egyetlen keretrendszerben kezeli az IPv4-et és az IPv6-ot, jobban skálázható nagy tiltólisták esetén, és beépített sebességkorlátozással rendelkezik. Ha Ubuntu 22.04+, Debian 11+ vagy bármely újabb disztribúciót használ, ez a jobb választás.

Állítsa be jail.local:

[DEFAULT]
banaction = nftables-multiport

Indítsa újra a Fail2Ban-t, majd ellenőrizze a sudo nft list ruleset. A következő üzenetnek kell megjelenni f2b-table és f2b-chain kell megjelenni a kimenetben. Csak akkor maradjon az iptables-nél, ha régebbi rendszert használ, vagy kompatibilitási követelményei vannak.

E-mailes értesítések

Alapértelmezés szerint a Fail2Ban csendben tiltja le a felhasználókat. E-mailes értesítésekhez adja hozzá a következőket a [DEFAULT] szakaszba jail.local:

[DEFAULT]
destemail = [email protected]
sender = [email protected]
mta = sendmail
action = %(action_mwl)s

A action_mwl akció e-mailt küld a tiltás részleteivel, a WHOIS-adatokkal és a tiltást kiváltó naplóbejegyzésekkel. Használja action_mw , ha csak a WHOIS-adatokat szeretné megkapni. Szüksége lesz egy olyan levelezőprogramra, mint a sendmail, vagy egy SMTP-relére, amelyet például a msmtp.

Slack vagy Discord értesítésekhez készítsen egy szkriptet, amely webhookot küld, és kapcsolja össze egy egyéni műveleti fájlon keresztül a /etc/fail2ban/action.d/.

Ha teljes root hozzáféréssel és korlátlan sávszélességgel rendelkező szervert keres a Fail2Ban futtatásához, nézze meg az FDC dedikált szervereit.