Weboldal keresés

A Fail2Ban telepítése az SSH védelmére a CentOS/RHEL 8 rendszeren


A Fail2ban egy ingyenes, nyílt forráskódú és széles körben használt behatolás-megelőzési eszköz, amely ellenőrzi a naplófájlokat olyan IP-címek után kutatva, amelyek rosszindulatú jeleket, például túl sok jelszóhibat és még sok mást mutatnak, és letiltja azokat (frissíti a tűzfalat szabályokat az IP-címek elutasítására). Alapértelmezés szerint szűrőkkel szállítjuk különféle szolgáltatásokhoz, beleértve az sshd-t.

Olvassa el még: A kiszolgáló kezdeti beállítása a CentOS/RHEL 8 rendszerrel

Ebben a cikkben elmagyarázzuk, hogyan telepíthető és konfigurálható a fail2ban az SSH védelme és az SSH szerver biztonságának javítása érdekében a nyers erőszak elleni támadások ellen a ellen. CentOS/RHEL 8.

A Fail2ban telepítése CentOS/RHEL 8 rendszeren

A fail2ban csomag nem található a hivatalos tárolókban, de elérhető az EPEL tárolóban. Miután bejelentkezett a rendszerbe, nyissa meg a parancssori felületet, majd az ábrán látható módon engedélyezze az EPEL tárolót a rendszeren.

dnf install epel-release
OR
dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm

Ezután telepítse a Fail2ban csomagot a következő parancs futtatásával.

dnf install fail2ban

A Fail2ban beállítása az SSH védelmére

A fail2ban konfigurációs fájlok az /etc/fail2ban/ könyvtárban, a szűrők pedig az /etc/fail2ban/filter.d/ könyvtárban találhatók. könyvtárba (az sshd szűrőfájlja: /etc/fail2ban/filter.d/sshd.conf).

A fail2ban szerver globális konfigurációs fájlja az /etc/fail2ban/jail.conf, azonban nem ajánlott közvetlenül módosítani ezt a fájlt, mert valószínűleg felülírják vagy javítják egy csomag esetén. frissíteni a jövőben.

Alternatív megoldásként ajánlatos a konfigurációkat egy jail.local fájlban vagy külön .conf fájlban létrehozni és hozzáadni az /etc/fail2ban/jail alatt. d/ könyvtárba. Vegye figyelembe, hogy a jail.local fájlban beállított konfigurációs paraméterek felülírják a jail.conf fájlban meghatározottakat.

Ehhez a cikkhez külön fájlt hozunk létre jail.local néven az /etc/fail2ban/ könyvtárban, ahogy az ábrán látható.

vi /etc/fail2ban/jail.local

A fájl megnyitása után másolja ki és illessze be a következő konfigurációt. A [DEFAULT] szakasz globális beállításokat, az [sshd] pedig az sshd jail paramétereit tartalmazza.


[DEFAULT] 
ignoreip = 192.168.56.2/24
bantime  = 21600
findtime  = 300
maxretry = 3
banaction = iptables-multiport
backend = systemd

[sshd] 
enabled = true

Röviden magyarázzuk el a fenti konfiguráció opcióit:

  • ignoreip: a nem tiltandó IP-címek vagy gazdagépnevek listáját adja meg.
  • bantime: megadja, hogy egy gazdagép hány másodpercre van tiltva (azaz a tényleges tiltás időtartama).
  • maxretry: megadja a hibák számát, mielőtt egy gazdagépet kitiltásra kerül.
  • findtime: a fail2ban letilt egy gazdagépet, ha az „maxretry” kifejezést generált az utolsó „findtime” másodpercben.
  • banaction: tiltó művelet.
  • backend: a naplófájl módosításához használt háttérrendszert határozza meg.

A fenti konfiguráció tehát azt jelenti, hogy ha egy IP-cím 3 meghibásodott az elmúlt 5 percben, tiltsa le 6 órára, és figyelmen kívül hagyja a IP-cím: 192.168.56.2.

Ezután indítsa el és egyelőre engedélyezze a fail2ban szolgáltatást, és ellenőrizze, hogy működik-e a következő systemctl paranccsal.

systemctl start fail2ban
systemctl enable fail2ban
systemctl status fail2ban

Sikertelen és tiltott IP-cím figyelése fail2ban-client használatával

A fail2ban konfigurálása az sshd biztonságossá tétele után a fail2ban-client segítségével figyelheti a sikertelen és tiltott IP-címeket. A fail2ban szerver aktuális állapotának megtekintéséhez futtassa a következő parancsot.

fail2ban-client status

Az sshd börtön megfigyeléséhez futtassa.

fail2ban-client status sshd

Egy IP-cím tiltásának feloldásához a fail2ban-ban (minden jailben és adatbázisban), futtassa a következő parancsot.

fail2ban-client unban 192.168.56.1

A fail2ban-nal kapcsolatos további információkért olvassa el a következő man oldalakat.

man jail.conf
man fail2ban-client

Ez foglalja össze ezt az útmutatót! Ha bármilyen kérdése vagy gondolata van, amelyet meg szeretne osztani ezzel a témával kapcsolatban, ne habozzon kapcsolatba lépni velünk az alábbi visszajelzési űrlapon keresztül.