A Fail2Ban telepítése az SSH védelmére a CentOS/RHEL 8 rendszeren
A Fail2ban egy ingyenes, nyílt forráskódú és széles körben használt behatolás-megelőzési eszköz, amely ellenőrzi a naplófájlokat olyan IP-címek után kutatva, amelyek rosszindulatú jeleket, például túl sok jelszóhibat és még sok mást mutatnak, és letiltja azokat (frissíti a tűzfalat szabályokat az IP-címek elutasítására). Alapértelmezés szerint szűrőkkel szállítjuk különféle szolgáltatásokhoz, beleértve az sshd-t.
Olvassa el még: A kiszolgáló kezdeti beállítása a CentOS/RHEL 8 rendszerrel
Ebben a cikkben elmagyarázzuk, hogyan telepíthető és konfigurálható a fail2ban az SSH védelme és az SSH szerver biztonságának javítása érdekében a nyers erőszak elleni támadások ellen a ellen. CentOS/RHEL 8.
A Fail2ban telepítése CentOS/RHEL 8 rendszeren
A fail2ban csomag nem található a hivatalos tárolókban, de elérhető az EPEL tárolóban. Miután bejelentkezett a rendszerbe, nyissa meg a parancssori felületet, majd az ábrán látható módon engedélyezze az EPEL tárolót a rendszeren.
dnf install epel-release
OR
dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
Ezután telepítse a Fail2ban csomagot a következő parancs futtatásával.
dnf install fail2ban
A Fail2ban beállítása az SSH védelmére
A fail2ban konfigurációs fájlok az /etc/fail2ban/ könyvtárban, a szűrők pedig az /etc/fail2ban/filter.d/ könyvtárban találhatók. könyvtárba (az sshd szűrőfájlja: /etc/fail2ban/filter.d/sshd.conf).
A fail2ban szerver globális konfigurációs fájlja az /etc/fail2ban/jail.conf, azonban nem ajánlott közvetlenül módosítani ezt a fájlt, mert valószínűleg felülírják vagy javítják egy csomag esetén. frissíteni a jövőben.
Alternatív megoldásként ajánlatos a konfigurációkat egy jail.local fájlban vagy külön .conf
fájlban létrehozni és hozzáadni az /etc/fail2ban/jail alatt. d/ könyvtárba. Vegye figyelembe, hogy a jail.local fájlban beállított konfigurációs paraméterek felülírják a jail.conf fájlban meghatározottakat.
Ehhez a cikkhez külön fájlt hozunk létre jail.local néven az /etc/fail2ban/ könyvtárban, ahogy az ábrán látható.
vi /etc/fail2ban/jail.local
A fájl megnyitása után másolja ki és illessze be a következő konfigurációt. A [DEFAULT]
szakasz globális beállításokat, az [sshd]
pedig az sshd jail paramétereit tartalmazza.
[DEFAULT]
ignoreip = 192.168.56.2/24
bantime = 21600
findtime = 300
maxretry = 3
banaction = iptables-multiport
backend = systemd
[sshd]
enabled = true
Röviden magyarázzuk el a fenti konfiguráció opcióit:
- ignoreip: a nem tiltandó IP-címek vagy gazdagépnevek listáját adja meg.
- bantime: megadja, hogy egy gazdagép hány másodpercre van tiltva (azaz a tényleges tiltás időtartama).
- maxretry: megadja a hibák számát, mielőtt egy gazdagépet kitiltásra kerül.
- findtime: a fail2ban letilt egy gazdagépet, ha az „maxretry” kifejezést generált az utolsó „findtime” másodpercben.
- banaction: tiltó művelet.
- backend: a naplófájl módosításához használt háttérrendszert határozza meg.
A fenti konfiguráció tehát azt jelenti, hogy ha egy IP-cím 3 meghibásodott az elmúlt 5 percben, tiltsa le 6 órára, és figyelmen kívül hagyja a IP-cím: 192.168.56.2.
Ezután indítsa el és egyelőre engedélyezze a fail2ban szolgáltatást, és ellenőrizze, hogy működik-e a következő systemctl paranccsal.
systemctl start fail2ban
systemctl enable fail2ban
systemctl status fail2ban
Sikertelen és tiltott IP-cím figyelése fail2ban-client használatával
A fail2ban konfigurálása az sshd biztonságossá tétele után a fail2ban-client segítségével figyelheti a sikertelen és tiltott IP-címeket. A fail2ban szerver aktuális állapotának megtekintéséhez futtassa a következő parancsot.
fail2ban-client status
Az sshd börtön megfigyeléséhez futtassa.
fail2ban-client status sshd
Egy IP-cím tiltásának feloldásához a fail2ban-ban (minden jailben és adatbázisban), futtassa a következő parancsot.
fail2ban-client unban 192.168.56.1
A fail2ban-nal kapcsolatos további információkért olvassa el a következő man oldalakat.
man jail.conf
man fail2ban-client
Ez foglalja össze ezt az útmutatót! Ha bármilyen kérdése vagy gondolata van, amelyet meg szeretne osztani ezzel a témával kapcsolatban, ne habozzon kapcsolatba lépni velünk az alábbi visszajelzési űrlapon keresztül.