A Fail2Ban telepítése és konfigurálása Linuxon

A Fail2Ban figyeli a kiszolgálónaplókat a gyanús tevékenységekre, és a tűzfalszabályok frissítésével automatikusan tiltja a jogsértő IP-ket. Megállítja a nyers erővel végrehajtott támadásokat, csökkenti a naplózajokat, és beállítása után csendesen fut a háttérben. Ez az útmutató az Ubuntu/Debian telepítéssel, az alapkonfigurációval, a jail beállításával és néhány speciális opcióval foglalkozik, amelyekről érdemes tudni.

Előfeltételek

A Fail2Ban a legtöbb Linux disztribúción fut: Ubuntu, Debian, AlmaLinux, CentOS, RHEL, Rocky Linux és Fedora. Szükséged lesz rá:

• Python 3 telepítve a rendszerben
• Root vagy sudo hozzáférés a csomagok telepítéséhez és a tűzfal módosításához
• Aktív tűzfal (iptables, nftables, ufw vagy firewalld)
• Sikertelen bejelentkezési kísérleteket rögzítőnaplófájlok(/var/log/auth.log Debian-alapú rendszereken, /var/log/secure RHEL-alapú rendszereken)

RHEL-alapú rendszereken először engedélyezze az EPEL-tárat. A Fail2Ban telepítése előtt ellenőrizze a tűzfal futását az ufw status vagy a systemctl status firewalld segítségével.

A Fail2Ban telepítése Ubuntu/Debian rendszerre

Frissítse a csomagjait és telepítse a Fail2Ban-t:

sudo apt update && sudo apt upgrade -y
sudo apt install fail2ban

Engedélyezze a szolgáltatást, hogy elinduljon a rendszerindításkor, majd indítsa el:

sudo systemctl enable fail2ban
sudo systemctl start fail2ban

Másolja az alapértelmezett konfigurációt egy helyi felülbírálási fájlba. Mindig a jail.local fájlt szerkessze, ne a jail.conf-ot, hogy a csomagfrissítések ne írják felül a beállításokat:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Ellenőrizze, hogy minden fut-e:

sudo systemctl status fail2ban
sudo fail2ban-client status

Az első parancsnak azt kell mutatnia, hogy "Active: active (running)". A második felsorolja az aktív jaileket. A sudo systemctl is-enabled fail2ban paranccsal erősítse meg, hogy a Fail2Ban engedélyezve van a rendszerindításkor.

Jails konfigurálása

Alapértelmezett beállítások

Nyissa meg az /etc/fail2ban/jail.local állományt, és állítsa be a [DEFAULT] részt. Ezek a beállítások minden jailre érvényesek, hacsak nem írja felül őket:

Adja hozzá saját kezelő IP-jét az ignoreip-hez, hogy ne zárja ki magát. Példa: ignoreip = 127.0.0.0.1/8 ::1 203.0.113.50.

SSH védelem

Engedélyezze az SSH börtönt a jail.local fájlban:

[sshd]
enabled = true

Ellenőrizze, hogy a logpath a disztribúciójának megfelelő naplófájlra mutat-e. Ha az SSH-t nem szabványos portra (pl. 2222) helyezte át, frissítse a port paramétert a megfelelőre.

Webkiszolgáló védelme

Engedélyezze a webkiszolgálójának megfelelő börtönt:

• Nginx: [nginx-http-auth] a hitelesítési hibákhoz, [nginx-botsearch] a rosszindulatú botokhoz
• Apache: [apache-auth] a hitelesítéshez, [apache-badbots] a botok ellen

Recidive Jail

A [recidive] börtön elkapja azokat az IP-ket, amelyeket folyamatosan tiltanak más börtönökben, és hosszabb büntetést alkalmaz, általában egy hetet (604 800 másodperc). Hasznos a kitartó támadók számára, akik váltogatják a megközelítésüket.

A módosítások elvégzése után töltse újra:

sudo systemctl restart fail2ban
sudo fail2ban-client status

Tesztelés és felügyelet

Tesztelési tilalmak

Mielőtt a Fail2Banra támaszkodna a termelésben, tesztelje azt. Egy távoli gépről (nem az Ön admin IP címéről) próbálkozzon SSH bejelentkezésekkel, amíg a maxretry értéket meg nem haladja. Ekkor blokkolva kell lennie. Erősítse meg a következőkkel:

sudo fail2ban-client status sshd

Nézze meg a tiltások valós idejű megtörténtét:

tail -f /var/log/fail2ban.log

Ha véletlenül letiltasz egy legitim IP-t, oldd fel a tiltást:

sudo fail2ban-client set sshd unbanip 203.0.113.50

Napról-napra történő megfigyelés

Tekintse át a tiltási előzményeket a naplóban:

grep "Ban\|Unban" /var/log/fail2ban.log

Hasznos kezelési parancsok:

A tiltások az újraindítások során is fennmaradnak. A Fail2Ban egy SQLite adatbázisban tárolja őket a /var/lib/fail2ban/fail2ban/fail2ban.sqlite3 címen.

Speciális konfiguráció

Átváltás nftables-re

az nftables az iptables modern helyettesítője. Egyetlen keretrendszerben kezeli az IPv4 és az IPv6-ot, jobban skálázódik a nagy tiltólistákkal, és beépített sebességkorlátozással rendelkezik. Ha Ubuntu 22.04+, Debian 11+ vagy bármelyik újabb disztribúciót használ, ez a jobb választás.

Állítsa be a jail.local fájlban:

[DEFAULT]
banaction = nftables-multiport

Indítsa újra a Fail2Ban-t, majd ellenőrizze a sudo nft list ruleset segítségével. A kimeneten látnod kell az f2b-table és az f2b-chain parancsokat. Csak akkor maradj az iptables-nél, ha régebbi rendszeren vagy kompatibilitási követelményekkel dolgozol.

E-mail értesítések

Alapértelmezés szerint a Fail2Ban csendben tilt. Ha e-mail értesítést szeretne kapni, adja hozzá a jail.local [DEFAULT] szakaszához a következőket:

[DEFAULT]
destemail = [email protected]
sender = [email protected]
mta = sendmail
action = %(action_mwl)s

Az action_mwl művelet e-mailt küld a tiltás részleteivel, a WHOIS-adatokkal és a tiltást kiváltó naplósorokkal. Használja az action_mw-t, ha csak a WHOIS-adatokra van szüksége. Szükséged lesz egy olyan levélátviteli ügynökre, mint a sendmail, vagy egy SMTP relére, amelyet például az msmtp segítségével konfiguráltál.

A Slack vagy Discord riasztásokhoz hozzon létre egy szkriptet, amely egy webhookot küld, és kösse össze egy egyéni action fájlon keresztül az /etc/fail2ban/action.d/ állományban.

Ha teljes root hozzáféréssel és mérés nélküli sávszélességgel rendelkező szervert keres a Fail2Ban futtatásához, nézze meg az FDC dedikált szervereit.