Turinys
„Fail2ban“ įrankis suteikia galimybę automatiškai apsaugoti serverį nuo įtariamų atakų ir kenkėjiškos programinės įrangos.
Programa nuskaito žurnalo failus ir padeda reaguoti į tokius veiksmus kaip pakartotiniai nesėkmingi bandymai prisijungti.
Pradėsime diegdami fail2ban
Kadangi „fail2ban“ nėra „CentOS“, turime pradėti nuo saugyklos atsisiuntimo:
rpm- Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
Tada mes įdiegiame fail2ban iš komandinės eilutės naudodami šią komandą
yum įdiegti fail2ban
Nukopijuojame konfigūracijos failą
Numatytasis fail2ban konfigūracijos failas yra vieta /etc/fail2ban/jail.conf. Tačiau to failo konfigūravimo darbai neturėtų būti atliekami, o atsarginė kopija turėtų būti padaryta vietinė jo kopija.
cp / etc / fail2ban / jail.conf / etc / fail2ban / jail.local
Kai failas bus nukopijuotas, galėsime atlikti visus naujo failo jail.local pakeitimus. Daugelis galimų paslaugų, kurioms gali prireikti apsaugos, yra šiame faile jau iš anksto sukonfigūruotos. Kiekvienas iš jų yra savo skyriuje, sukonfigūruotas ir išjungtas.
Nustatykite numatytuosius nustatymus į Kalėjimas. Vietinis
Atidarykite naują fail2ban konfigūracijos failą:
vi / etc / fail2ban / jail.local
Pirmasis numatytųjų nustatymų skyrius apima pagrindines taisykles, kurių bus laikomasi fail2ban. Jei norite sukonfigūruoti labiau suasmenintą virtualiojo privataus serverio apsaugą, galite tinkinti kiekvieno skyriaus informaciją.
Galite pamatyti numatytąją skiltį, kai kuri informacija, kaip nurodyta toliau.
[Numatytoji reikšmė] # „Ignoruoti“ gali būti IP adresas, CIDR kaukė arba DNS priegloba. „Fail2ban“ neuždraus eilutės, atitinkančios šio sąrašo adresą. Keli adresai gali būti #define pagal tarpo skyriklį. ignoreip = 127.0.0.1 # "Bantime" - tai sekundžių skaičius, per kurį prieglobai uždrausta pasiekti arba uždrausta. bantime = 3600 # Laikas sekundėmis, kai priegloba bus užblokuota, jei ji pateiks maksimalų nesėkmingų užklausų skaičių findtime = 600 # "Maxretry" - tai nesėkmių skaičius, leidžiamas prieš uždraudžiant. maxretry = 3
Įveskite savo IP adresą ignoreip asmeninėje eilutėje. Kiekvieną adresą galite atskirti tarpais. „IgnoreIP“ įtrauks į baltąjį sąrašą tam tikrus IP adresus ir užtikrins, kad jie nebūtų palikti jūsų VPS. Įtraukę savo adresą užtikrinsite, kad netyčia neatsidraustumėte nuo savo virtualaus privataus serverio.
Kitas žingsnis - nuspręsti dėl uždraudimo laiko, kiek sekundžių serveris yra užblokuotas, jei jis pažeidžia kurią nors iš taisyklių. Tai ypač naudinga robotams, kuriems uždrausta prieiga tiesiog pereis prie kito tikslo. Numatytoji reikšmė yra 10 minučių, jei norite, galite ją padidinti iki valandos.
„Maxretry“ - tai neteisingų prieigos bandymų, kuriuos šeimininkas gali padaryti prieš uždraudžiant prieigą uždrausti visą uždraudimo laiką, skaičius.
„Findtime“ nurodo, kiek laiko priegloba turi įvesti numatytąją vertę, yra 10 minučių, o tai reiškia, kad jei bandoma prieiti prie pagrindinio kompiuterio prie serverio ir nepavyksta, tris kartus prisijungti daugiau nei maksimali suma per 10 minučių, jūsų IP bus užblokuotas ir negalėsite pasiekti.
Konfigūruokite „ssh - iptables“ skyrių kalėjime. Vietinis
SSH išsamios informacijos skyrius yra šiek tiek žemiau nustatymuose, jis jau įdiegtas ir suaktyvintas. Nors iš šio skyriaus nereikėtų daryti jokių pakeitimų, toliau rasite išsamios informacijos apie kiekvieną eilutę.
[ssh - iptables] įgalintas = tikras filtras = sshd action = iptables [vardas = SSH, prievadas = ssh, protokolas = tcp] sendmail -whois [vardas = SSH, paskirtis = šaknis, siuntė[email protected]] logpath = / var / log / secure maxretry = 5
Įgalinta tiesiog reiškia tai, kad SSH apsauga įjungta. Galite jį išjungti žodžiu false.
Filtras, kurį pagal numatytuosius nustatymus naudojate sshd, reiškia konfigūracijos failą, kuriame yra taisyklės, kurias fail2banuses naudoja ieškodami atitikmenų. Pavadinimas yra sutrumpinta failo plėtinio versija. Pavyzdžiui, sshd reiškia /etc/fail2ban/filter.d/sshd.conf
Veiksmas, aprašomi veiksmai, kurių „fail2ban“ imsis uždrausti atitinkamą IP adresą. Kaip ir filtro įrašas, kiekvienas veiksmas nurodo failą kataloge action.d. Numatytąjį uždraudimo veiksmą „iptable“ rasite adresu /etc/fail2ban/action.d/iptables.conf
„Iptables“ galite toliau tinkinti fail2ban. Pavyzdžiui, jei naudojate nestandartinį prievadą, skliausteliuose esančio prievado numerį galite pakeisti į aukštį, kad matymo linija ta pati šeima:
pavyzdžiui . „iptables“ [vardas = SSH, prievadas = 30000, protokolas = tcp]
Šioje eilutėje taip pat galite pakeisti protokolą iš TCP į UDP, priklausomai nuo to, kurį norite stebėti fail2ban.
Jei jūsų virtualiame privačiame serveryje yra sukonfigūruotas pašto serveris, fail2ban gali jums atsiųsti el. Laišką, kai IP adresas uždraustas. Apejimo atveju sendmail-whois nurodo veiksmus, esančius / etc / fail2ban / action.d / sendmail-whois.conf.
žurnalo kelias nurodo žurnalo vietą, kurią fail2ban stebės.
Maksimali pakartotinio bandymo eilutė SSH skyriuje yra tokia pati kaip numatytoji parinktis. Tačiau jei paslauga buvo įjungta ir norite kiekvienai iš jų turėti konkrečias vertes, čia galite nustatyti naują maksimalią SSH bandymo sumą.
Iš naujo paleiskite fail2ban
Atlikę bet kokius fail2ban konfigūracijos pakeitimus, būtinai iš naujo paleiskite fail2ban:
„sudo restart“ fail2ban paslauga
IP lentelėje galite pamatyti taisykles, kurias įgyvendina fail2ban:
„iptables“- L.Ar jums patiko ir padėjo ši pamoka?Galite apdovanoti autorių paspausdami šį mygtuką, kad suteiktumėte jam teigiamą tašką
