Как да инсталирате и използвате Fail2ban за сигурност на сървъра на Linux

Във всички видове организации, независимо от вида на използваната информация или броя на потребителите, които към нея принадлежат, винаги като персонал в системите или ИТ областта трябва да гарантираме, че сигурността е основен фактор в нея, но когато една или повече се управляват повече сървъри.

Когато говорим за сървъри с дистрибуции на Linux, много пъти си мислим, че те са освободени от атаки, но в често променящия се онлайн свят вече няма защитена система и всяка дистрибуция е изложена на атаки от зловреден софтуер, вируси, DDOS атаки и много Повече ▼. Като администратори или потребители с достъп до събития и регистрационни файлове на сървъра е нормално да се откриват опити за влизане с груба сила, наводнения в мрежата, търсене на експлоататори и други заплахи, които по един или друг начин могат да поставят целостта и наличността на информация.

Следователно е необходимо да се използват инструменти, които ни предоставят най -добрите възможности за сигурност и алтернативи; Мислейки за това, Solvetic ще обясни как да използваме Fail2ban за откриване и защита на нашите операционни системи Linux.

Какво е Fail2ban?Fail2ban е разработен като софтуер за предотвратяване на проникване, който анализира лог файловете на сървъра като / var / log / apache / error_log и по този начин забранява IP адресите, които съдържат злонамерени знаци, отчитайки аспекти като прекалено много грешки в паролите, търсения за уязвимости и т.н. .

Като общо правило, Fail2Ban се използва за актуализиране на правилата на защитната стена, така че да отхвърля IP адресите в определен период от време, но можете също да конфигурирате друго правило, което може да изложи сигурността на системата в риск. Въпреки че Fail2Ban може да намали процента на неуспешни опити за удостоверяване в системата, идеално е методите за удостоверяване да не са слаби. За това можем да конфигурираме услугите да използват само два фактора или публични / частни механизми за удостоверяване за защита на услугите в Linux.

Изисквания за използване на Fail2ban
Единствената зависимост, която ще трябва да използваме Fail2ban, ще бъде Python, в зависимост от желаната версия тя ще бъде следната:

• Fail2ban клон 0.9.x: Python> = 2.6 или Python> = 3.2

• Fail2ban клон 0.8.x: Python> = 2.4

По избор Fail2ban може да изисква следните елементи:

• Netfilter / Iptables

• Shorewall

• TCP Wrapper

• Пощенски скрипт

• Ipset

Характеристики на Fail2ban
Текущата версия на Fail2ban е 0.9.x, която ни предлага функции като:

• Действия, базирани на Python.

• Поддръжка на база данни.

• Многоредови анализ във филтри.

• Поддръжка на персонализирани дата и час за филтри.

• Разпознаване на часовата зона по подразбиране.

• Таймаут в командите за забрана.

• Набор от символи за разпознаване в лог файлове.

• Поддръжка на Python3 +

• Архитектура клиент / сървър.

• Много нишки.

• Силно конфигурируем чрез използване на разделени конфигурационни файлове.

• Той използва Netfilter / Iptables по подразбиране, но също така ще бъде възможно да се използва TCP Wrapper и много други налични защитни стени.

• Тя позволява да се обработват множество услуги едновременно като sshd, apache, vsftp и др.

• Изпълнявайте команди, когато се открие модел за същия IP адрес повече от X пъти, за да забраните този адрес.

1. Как да инсталирате Fail2ban на Linux

ЗабележкаЗа този случай ще използваме CentOS 7

Етап 1
За да инсталираме Fail2ban, ще изпълним следните команди в техния ред:

Актуализирайте системата

 yum актуализация

Инсталирайте хранилищата EPEL

 yum инсталирайте epel-release

Въвеждаме буквата y, за да потвърдим изтеглянето и инсталирането на хранилището на EPEL.

Стъпка 2
След това инсталираме Fail2ban, като изпълним:

 yum install fail2ban 

Стъпка 3
След този анализ ще видим, че всички зависимости на Fail2ban ще бъдат инсталирани. Приемаме изтеглянето и инсталирането на Fail2ban.

Стъпка 4
В случай на използване на Debian или Ubuntu трябва да изпълним следното:

 apt-get update && apt-get upgrade -y apt-get install fail2ban

По избор можем да активираме поддръжка по пощата, за известия по пощата, като инсталираме sendmail, както следва:

CentOS / RHEL

 yum инсталирате sendmail

Debian / Ubuntu

 apt-get install sendmail-bin sendmail

Стъпка 5
След това ще активираме Fail2ban и Sendmail, като използваме следните команди:

 systemctl стартиране fail2ban systemctl активиране fail2ban systemctl стартиране sendmail systemctl активиране на sendmail

2. Как да конфигурирате Fail2ban на Linux

По подразбиране Fail2ban използва .conf файловете, намиращи се в директорията / etc / fail2ban /; до които първо имате достъп, но те могат да бъдат заменени с .local файлове, разположени в същата директория.

По този начин .local файлът не трябва да включва всички настройки във .conf файла, а само тези, които искаме да внедрим за сигурност на системата. Всяка промяна трябва да бъде направена в .local файловете, които не са в .conf, за да се избегне презаписване на промените при актуализиране на пакета fail2ban.

Етап 1
За целта ще копираме съществуващия файл fail2ban.conf в fail2ban.local по следния начин:

 cp /etc/fail2ban/fail2ban.conf /etc/fail2ban/fail2ban.local

Стъпка 2
Сега ще бъде възможно да се направят промените във файла .local, създаден с помощта на текстов редактор, стойностите, които можем да редактираме са:

loglevelТова е нивото, където се съхраняват записите. Там имаме опции като:

• КРИТИЧНО

• ГРЕШКА

• ВНИМАНИЕ

• ЗАБЕЛЕЖКА

• ИНФОРМАЦИЯ

• ДЕБУГ

logtargetТам действията се записват в определен файл, стойността по подразбиране е /var/log/fail2ban.log и опциите за използване са:

• STDOUT: Извеждане на всякакви данни.

• STDERR: Генерира всяка грешка.

• SYSLOG: Дневник, базиран на съобщения.

• Файл: Изход към файл

гнездоТова е директорията, в която ще се намира файлът на гнездото.

PidfileТова е местоположението на pid файла.

3. Как да конфигурирате Fail2ban jail.local в Linux

Във Fail2ban един от най -важните файлове е jail.conf, който определя затворите или мерките за защита. Там трябва да дефинирате услугите, за които Fail2ban трябва да бъде разрешен.

Етап 1
Ще създадем файл jail.local, за да можем да приложим модификациите, за това изпълняваме:

 cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Достъпваме до този локален файл, използвайки следния синтаксис:

 nano /etc/fail2ban/jail.local

Там намираме бекенд реда и редактираме стойността по подразбиране Auto на systemd:

ЗабележкаВ случай на Ubuntu или Debian, тази промяна няма да е необходима.

Стъпка 2
Файлът jail.local ще активира SSH по подразбиране за Debian и Ubuntu, но не и за CentOS, така че ако искаме да активираме SSH, ще добавим реда enabled = true под [sshd]:

4. Как да конфигурирате времената за забрана и повторен опит в Fail2ban Linux

С Fail2ban можем да конфигурираме начина, по който IP адресът е блокиран. За тази цел; За тази цел Fail2ban използва bantime, findtime и maxretry.

бантимПоказва броя секунди, през които IP адресът ще остане забранен (10 минути по подразбиране).

FindtimeТова е времето между опитите за влизане, преди хостът да бъде премахнат. (по подразбиране 10 минути)

максОтнася се до броя опити, които трябва да бъдат направени преди да се приложи забрана. (по подразбиране 3 опита).

5. Как да конфигурирате IP адреси в белия списък във Fail2ban Linux

Възможно е да се добавят IP адреси към белия списък на Fail2ban (разрешено). За да направим това, във файла jail.local трябва да декомментираме следния ред:

 ignoreip = 127.0.0.1/8 :: 1

Там можем да въведем IP адресите, които трябва да се игнорират. IP адресите трябва да бъдат разделени с интервали или запетаи.

6. Как да създадете предупреждения по имейл в Fail2ban Linux

Тази опция е идеална, ако искаме да получаваме сигнали за всяка промяна или новина в записите. За да направим това, трябва да редактираме файла /etc/fail2ban/jail.local, опциите са:

destemailТова е имейл адресът, на който ще бъде получено известието.

Име на подателяТова е изпращачът, който ще видим, когато съобщението бъде получено.

ИзпращачПоказва имейл адреса, от който Fail2ban ще изпраща имейлите.

По подразбиране mta (агент за прехвърляне на поща) е конфигуриран с sendmail.

За да получите известие по пощата, ще е необходимо също да промените настройката „Действие“ в следния ред:

 Действие =% (action_) s

Със следната конфигурация:

 действие =% (action_mw) s действие =% (action_mwl) s

Банирайте хоста и изпратете поща с whois доклад

 % (action_mw) s

Той ще забрани хоста, ще генерира whois информация и цялата съответна информация от лог файла

 % (action_mwl) s

7. Допълнителни конфигурации на Fail2ban Linux

Ако искате да конфигурирате затвор, той трябва да бъде активиран във файла jail.local. Синтаксисът е следният:

 [затвор] … активиран = вярно

Можем да видим структурата на затвора за SSHD. Fail2ban автоматично добавя допълнителните параметри.

Също така ще бъде възможно да се активира филтърът, по който може да се идентифицира, ако ред в регистъра е грешка. Стойността на филтъра е препратка към файл с името на услугата, последвано от .conf. Например можем да използваме

 /etc/fail2ban/filter.d/sshd.conf.

Синтаксисът за използване е:

 филтър = услуга

Докато добавяме затвори, можем да използваме клиента Fail2ban, за да видим кои са активни на сървъра, за това изпълняваме следното:

 статус на fail2ban-клиент

Там те ще бъдат разгърнати, докато създаваме тези ограничения.

Можем да видим как Fail2ban е практична помощна програма за повишаване на сигурността в дистрибуциите на Linux, избягвайки неоторизиран достъп и всичко свързано с лоши практики, които се изпълняват в организацията.