Phenquestions
Semua pelayan yang dapat diakses dari Internet berisiko diserang malware. Contohnya, jika Anda memiliki aplikasi yang dapat diakses dari jaringan publik, penyerang dapat menggunakan upaya brute-force untuk mendapatkan akses ke aplikasi.
Fail2ban adalah alat yang membantu melindungi mesin Linux anda dari serangan kasar dan serangan automatik lain dengan memantau log perkhidmatan untuk aktiviti jahat. Ia menggunakan ungkapan biasa untuk mengimbas fail log. Semua entri yang sesuai dengan corak dihitung, dan ketika jumlahnya mencapai ambang yang ditentukan sebelumnya, Fail2ban melarang IP yang menyinggung menggunakan firewall sistem untuk jangka waktu tertentu. Apabila tempoh larangan berakhir, alamat IP dikeluarkan dari senarai larangan.
Artikel ini menerangkan cara memasang dan mengkonfigurasi Fail2ban pada Debian 10.
Memasang Fail2ban pada Debian #
Pakej Fail2ban termasuk dalam repositori Debian 10 lalai. Untuk memasangnya, jalankan perintah berikut sebagai root atau pengguna dengan hak istimewa sudo:
sudo apt kemas kinisudo apt install fail2ban
Setelah selesai, perkhidmatan Fail2ban akan dimulakan secara automatik. Anda boleh mengesahkannya dengan memeriksa status perkhidmatan:
status sudo systemctl fail2banKeluarannya akan kelihatan seperti ini:
● fail2ban.perkhidmatan - Perkhidmatan Fail2Ban Dimuat: dimuat (/ lib / systemd / system / fail2ban.perkhidmatan; didayakan; pratetap vendor: diaktifkan) Aktif: aktif (berjalan) sejak Rab 2021-03-10 18:57:32 UTC; 47an yang lalu .. Itu sahaja. Pada ketika ini, Fail2Ban berjalan di pelayan Debian anda.
Konfigurasi Fail2ban #
Pemasangan Fail2ban lalai dilengkapi dengan dua fail konfigurasi, / etc / fail2ban / penjara.pengesahan dan / etc / fail2ban / penjara.d / lalai-debian.pengesahan. Anda tidak boleh mengubah fail ini kerana fail tersebut akan ditimpa semasa pakej dikemas kini.
Fail2ban membaca fail konfigurasi mengikut urutan berikut. Masing-masing .tempatan fail mengatasi tetapan dari .pengesahan fail:
/ etc / fail2ban / penjara.pengesahan/ etc / fail2ban / penjara.d / *.pengesahan/ etc / fail2ban / penjara.tempatan/ etc / fail2ban / penjara.d / *.tempatan
Cara termudah untuk mengkonfigurasi Fail2ban adalah menyalin penjara.pengesahan ke penjara.tempatan dan ubah suai .tempatan fail. Pengguna yang lebih maju dapat membina a .tempatan fail konfigurasi dari awal. The .tempatan fail tidak perlu memasukkan semua tetapan dari yang sesuai .pengesahan fail, hanya yang anda mahu ganti.
Buat a .tempatan fail konfigurasi dengan menyalin lalai penjara.pengesahan fail:
sudo cp / etc / fail2ban / penjara.conf, tempatanUntuk mula mengkonfigurasi pelayan Fail2ban terbuka, penjara.tempatan fail dengan penyunting teks anda:
sudo nano / etc / fail2ban / penjara.tempatanFail tersebut merangkumi komen yang menerangkan apa yang dilakukan oleh setiap pilihan konfigurasi. Dalam contoh ini, kami akan mengubah tetapan asas.
Alamat IP Senarai Putih #
Alamat IP, julat IP, atau host yang anda ingin kecualikan dari larangan dapat ditambahkan ke abaikan arahan. Di sini anda harus menambahkan alamat IP PC tempatan anda dan semua mesin lain yang anda mahu senarai putih.
Menanggalkan garis bermula dengan abaikan dan tambahkan alamat IP anda dipisahkan dengan ruang:
ignip = 127.0.0.1/8 :: 1 123.123.123.123 192.168.1.0/24 Tetapan Larangan #
bantime, masa mencari, dan rahsia pilihan menetapkan masa larangan dan syarat larangan.
bantime adalah tempoh IP dilarang. Apabila tidak ada akhiran ditentukan, ia akan menjadi detik. Secara lalai, bantime nilai ditetapkan hingga 10 minit. Sebilangan besar pengguna lebih suka menetapkan masa larangan yang lebih lama. Tukar nilai mengikut keinginan anda:
bantime = 1d Untuk melarang IP secara kekal, gunakan nombor negatif.
masa mencari adalah jangka masa antara jumlah kegagalan sebelum larangan ditetapkan. Sebagai contoh, jika Fail2ban ditetapkan untuk melarang IP selepas lima kegagalan (rahsia, lihat di bawah), kegagalan tersebut mesti berlaku dalam masa mencari jangka masa.
masa cari = 10m rahsia adalah jumlah kegagalan sebelum IP dilarang. Nilai lalai ditetapkan kepada lima, yang semestinya baik bagi kebanyakan pengguna.
maxretry = 5 Pemberitahuan E-mel #
Fail2ban dapat menghantar amaran e-mel apabila IP telah dilarang. Untuk menerima e-mel, anda perlu memasang SMTP di pelayan anda dan mengubah tindakan lalai, yang hanya melarang IP menjadi % (tindakan_mw) s, seperti yang ditunjukkan di bawah:
tindakan =% (tindakan_mw) s % (tindakan_mw) s melarang IP yang menyinggung perasaan dan menghantar e-mel dengan laporan whois. Sekiranya anda ingin memasukkan log yang berkaitan dalam e-mel, tetapkan tindakan ke % (tindakan_mwl) s.
Anda juga dapat mengubah alamat e-mel pengiriman dan penerimaan:
/ etc / fail2ban / penjara.tempatandestemail = admin @ linuxize.com sender = root @ linuxize.com Jejak Fail2ban #
Fail2ban menggunakan konsep penjara. Penjara menggambarkan perkhidmatan dan merangkumi penapis dan tindakan. Entri log yang sepadan dengan corak carian dihitung, dan apabila kondisi yang telah ditentukan dipenuhi, tindakan yang sesuai akan dilaksanakan.
Fail2ban dihantar dengan sejumlah penjara untuk perkhidmatan yang berbeza. Anda juga boleh membuat konfigurasi penjara anda sendiri. Secara lalai, hanya penjara ssh yang diaktifkan.
Untuk mengaktifkan penjara, anda perlu menambah didayakan = benar selepas gelaran penjara. Contoh berikut menunjukkan cara mengaktifkan penjara postfix:
[postfix] diaktifkan = true port = smtp, ssmtp filter = postfix logpath = / var / log / mail.balak Pengaturan yang kita bincangkan di bahagian sebelumnya, dapat ditetapkan setiap penjara. Berikut adalah contoh:
/ etc / fail2ban / penjara.tempatan[sshd] enabled = maxretry benar = 3 findtime = 1d bantime = 4w ignip = 127.0.0.1/8 11.22.33.44 Penapis terletak di / etc / fail2ban / penapis.d direktori, disimpan dalam fail dengan nama yang sama dengan penjara. Sekiranya anda mempunyai persediaan dan pengalaman tersendiri dengan ungkapan biasa, anda dapat menyesuaikan penapisnya.
Setiap kali fail konfigurasi diubah, perkhidmatan Fail2ban mesti dimulakan semula agar perubahan berlaku:
sudo systemctl mulakan semula fail2banPelanggan # Fail2ban
Fail2ban dihantar dengan alat baris perintah bernama fail2ban-pelanggan yang boleh anda gunakan untuk berinteraksi dengan perkhidmatan Fail2ban.
Untuk melihat semua pilihan yang ada, gunakan perintah dengan -h pilihan:
fail2ban-klien -hAlat ini boleh digunakan untuk melarang / menyahbatasi alamat IP, mengubah tetapan, memulakan semula perkhidmatan, dan banyak lagi. Berikut adalah beberapa contoh:
Dapatkan status pelayan semasa:
sudo fail2ban-status pelangganPeriksa status penjara:
sudo fail2ban-status pelanggan sshdBebaskan IP:
sudo fail2ban-client set sshd unbanip 11.22.33.44Larang IP:
sudo fail2ban-client set sshd banip 11.22.33.44
Kesimpulan #
Kami telah menunjukkan kepada anda cara memasang dan mengkonfigurasi Fail2ban pada Debian 10.
Untuk maklumat lebih lanjut mengenai topik ini, lawati dokumentasi Fail2ban .
Sekiranya anda mempunyai soalan, sila berikan komen di bawah.
