Semua pelayan yang dapat diakses dari Internet berisiko diserang malware. Contohnya, jika Anda memiliki aplikasi yang dapat diakses dari jaringan publik, penyerang dapat menggunakan upaya brute-force untuk mendapatkan akses ke aplikasi.
Fail2ban adalah alat yang membantu melindungi mesin Linux anda dari serangan kasar dan serangan automatik lain dengan memantau log perkhidmatan untuk aktiviti jahat. Ia menggunakan ungkapan biasa untuk mengimbas fail log. Semua entri yang sesuai dengan corak dihitung, dan ketika jumlahnya mencapai ambang yang ditentukan sebelumnya, Fail2ban melarang IP yang menyinggung menggunakan firewall sistem untuk jangka waktu tertentu. Apabila tempoh larangan berakhir, alamat IP dikeluarkan dari senarai larangan.
Artikel ini menerangkan cara memasang dan mengkonfigurasi Fail2ban pada Debian 10.
Memasang Fail2ban pada Debian #
Pakej Fail2ban termasuk dalam repositori Debian 10 lalai. Untuk memasangnya, jalankan perintah berikut sebagai root atau pengguna dengan hak istimewa sudo:
sudo apt kemas kini
sudo apt install fail2ban
Setelah selesai, perkhidmatan Fail2ban akan dimulakan secara automatik. Anda boleh mengesahkannya dengan memeriksa status perkhidmatan:
status sudo systemctl fail2ban
Keluarannya akan kelihatan seperti ini:
● fail2ban.perkhidmatan - Perkhidmatan Fail2Ban Dimuat: dimuat (/ lib / systemd / system / fail2ban.perkhidmatan; didayakan; pratetap vendor: diaktifkan) Aktif: aktif (berjalan) sejak Rab 2021-03-10 18:57:32 UTC; 47an yang lalu ..
Itu sahaja. Pada ketika ini, Fail2Ban berjalan di pelayan Debian anda.
Konfigurasi Fail2ban #
Pemasangan Fail2ban lalai dilengkapi dengan dua fail konfigurasi, / etc / fail2ban / penjara.pengesahan
dan / etc / fail2ban / penjara.d / lalai-debian.pengesahan
. Anda tidak boleh mengubah fail ini kerana fail tersebut akan ditimpa semasa pakej dikemas kini.
Fail2ban membaca fail konfigurasi mengikut urutan berikut. Masing-masing .tempatan
fail mengatasi tetapan dari .pengesahan
fail:
/ etc / fail2ban / penjara.pengesahan
/ etc / fail2ban / penjara.d / *.pengesahan
/ etc / fail2ban / penjara.tempatan
/ etc / fail2ban / penjara.d / *.tempatan
Cara termudah untuk mengkonfigurasi Fail2ban adalah menyalin penjara.pengesahan
ke penjara.tempatan
dan ubah suai .tempatan
fail. Pengguna yang lebih maju dapat membina a .tempatan
fail konfigurasi dari awal. The .tempatan
fail tidak perlu memasukkan semua tetapan dari yang sesuai .pengesahan
fail, hanya yang anda mahu ganti.
Buat a .tempatan
fail konfigurasi dengan menyalin lalai penjara.pengesahan
fail:
sudo cp / etc / fail2ban / penjara.conf, tempatan
Untuk mula mengkonfigurasi pelayan Fail2ban terbuka, penjara.tempatan
fail dengan penyunting teks anda:
sudo nano / etc / fail2ban / penjara.tempatan
Fail tersebut merangkumi komen yang menerangkan apa yang dilakukan oleh setiap pilihan konfigurasi. Dalam contoh ini, kami akan mengubah tetapan asas.
Alamat IP Senarai Putih #
Alamat IP, julat IP, atau host yang anda ingin kecualikan dari larangan dapat ditambahkan ke abaikan
arahan. Di sini anda harus menambahkan alamat IP PC tempatan anda dan semua mesin lain yang anda mahu senarai putih.
Menanggalkan garis bermula dengan abaikan
dan tambahkan alamat IP anda dipisahkan dengan ruang:
ignip = 127.0.0.1/8 :: 1 123.123.123.123 192.168.1.0/24
Tetapan Larangan #
bantime
, masa mencari
, dan rahsia
pilihan menetapkan masa larangan dan syarat larangan.
bantime
adalah tempoh IP dilarang. Apabila tidak ada akhiran ditentukan, ia akan menjadi detik. Secara lalai, bantime
nilai ditetapkan hingga 10 minit. Sebilangan besar pengguna lebih suka menetapkan masa larangan yang lebih lama. Tukar nilai mengikut keinginan anda:
bantime = 1d
Untuk melarang IP secara kekal, gunakan nombor negatif.
masa mencari
adalah jangka masa antara jumlah kegagalan sebelum larangan ditetapkan. Sebagai contoh, jika Fail2ban ditetapkan untuk melarang IP selepas lima kegagalan (rahsia
, lihat di bawah), kegagalan tersebut mesti berlaku dalam masa mencari
jangka masa.
masa cari = 10m
rahsia
adalah jumlah kegagalan sebelum IP dilarang. Nilai lalai ditetapkan kepada lima, yang semestinya baik bagi kebanyakan pengguna.
maxretry = 5
Pemberitahuan E-mel #
Fail2ban dapat menghantar amaran e-mel apabila IP telah dilarang. Untuk menerima e-mel, anda perlu memasang SMTP di pelayan anda dan mengubah tindakan lalai, yang hanya melarang IP menjadi % (tindakan_mw) s
, seperti yang ditunjukkan di bawah:
tindakan =% (tindakan_mw) s
% (tindakan_mw) s
melarang IP yang menyinggung perasaan dan menghantar e-mel dengan laporan whois. Sekiranya anda ingin memasukkan log yang berkaitan dalam e-mel, tetapkan tindakan ke % (tindakan_mwl) s
.
Anda juga dapat mengubah alamat e-mel pengiriman dan penerimaan:
/ etc / fail2ban / penjara.tempatandestemail = admin @ linuxize.com sender = root @ linuxize.com
Jejak Fail2ban #
Fail2ban menggunakan konsep penjara. Penjara menggambarkan perkhidmatan dan merangkumi penapis dan tindakan. Entri log yang sepadan dengan corak carian dihitung, dan apabila kondisi yang telah ditentukan dipenuhi, tindakan yang sesuai akan dilaksanakan.
Fail2ban dihantar dengan sejumlah penjara untuk perkhidmatan yang berbeza. Anda juga boleh membuat konfigurasi penjara anda sendiri. Secara lalai, hanya penjara ssh yang diaktifkan.
Untuk mengaktifkan penjara, anda perlu menambah didayakan = benar
selepas gelaran penjara. Contoh berikut menunjukkan cara mengaktifkan penjara postfix:
[postfix] diaktifkan = true port = smtp, ssmtp filter = postfix logpath = / var / log / mail.balak
Pengaturan yang kita bincangkan di bahagian sebelumnya, dapat ditetapkan setiap penjara. Berikut adalah contoh:
/ etc / fail2ban / penjara.tempatan[sshd] enabled = maxretry benar = 3 findtime = 1d bantime = 4w ignip = 127.0.0.1/8 11.22.33.44
Penapis terletak di / etc / fail2ban / penapis.d
direktori, disimpan dalam fail dengan nama yang sama dengan penjara. Sekiranya anda mempunyai persediaan dan pengalaman tersendiri dengan ungkapan biasa, anda dapat menyesuaikan penapisnya.
Setiap kali fail konfigurasi diubah, perkhidmatan Fail2ban mesti dimulakan semula agar perubahan berlaku:
sudo systemctl mulakan semula fail2ban
Pelanggan # Fail2ban
Fail2ban dihantar dengan alat baris perintah bernama fail2ban-pelanggan
yang boleh anda gunakan untuk berinteraksi dengan perkhidmatan Fail2ban.
Untuk melihat semua pilihan yang ada, gunakan perintah dengan -h
pilihan:
fail2ban-klien -h
Alat ini boleh digunakan untuk melarang / menyahbatasi alamat IP, mengubah tetapan, memulakan semula perkhidmatan, dan banyak lagi. Berikut adalah beberapa contoh:
Dapatkan status pelayan semasa:
sudo fail2ban-status pelanggan
Periksa status penjara:
sudo fail2ban-status pelanggan sshd
Bebaskan IP:
sudo fail2ban-client set sshd unbanip 11.22.33.44
Larang IP:
sudo fail2ban-client set sshd banip 11.22.33.44
Kesimpulan #
Kami telah menunjukkan kepada anda cara memasang dan mengkonfigurasi Fail2ban pada Debian 10.
Untuk maklumat lebih lanjut mengenai topik ini, lawati dokumentasi Fail2ban .
Sekiranya anda mempunyai soalan, sila berikan komen di bawah.