Inhaltsverzeichnis
Das Tool fail2ban bietet eine Möglichkeit, den Server automatisch vor mutmaßlichen Angriffen und Schadsoftware zu schützen.
Das Programm arbeitet, indem es die Protokolldateien scannt und hilft, auf Aktionen wie wiederholte fehlgeschlagene Verbindungsversuche zu reagieren.
Wir beginnen mit der Installation von fail2ban
Da fail2ban in CentOS nicht verfügbar ist, müssen wir mit dem Herunterladen des Repositorys beginnen:
rpm- Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
Dann installieren wir fail2ban von der Kommandozeile mit dem folgenden Befehl
yum installiere fail2ban
Wir kopieren die Konfigurationsdatei
Die standardmäßige fail2ban-Konfigurationsdatei befindet sich in /etc/fail2ban/jail.conf. An dieser Datei sollten jedoch keine Konfigurationsarbeiten durchgeführt werden, sondern stattdessen eine lokale Kopie zur Sicherung erstellt werden.
cp / etc / fail2ban / jail.conf / etc / fail2ban / jail.local
Sobald die Datei kopiert wurde, können wir alle Änderungen in der neuen jail.local-Datei vornehmen. Viele der möglichen Dienste, die möglicherweise geschützt werden müssen, sind in dieser Datei bereits vorkonfiguriert. Jeder ist in einem eigenen Abschnitt, konfiguriert und ausgeschaltet.
Setzen Sie die Standardeinstellungen auf Jail.Local
Öffnen Sie die neue fail2ban-Konfigurationsdatei:
vi / etc / fail2ban / jail.local
Der erste Abschnitt der Standardeinstellungen behandelt die grundlegenden Regeln, denen fail2ban folgen wird. Wenn Sie einen personalisierteren Schutz für Ihren virtuellen privaten Server konfigurieren möchten, können Sie die Details jedes Abschnitts anpassen.
Sie können im Standardabschnitt einige Details wie die folgenden sehen.
[STANDARD] # "Ignoreip" kann eine IP-Adresse, eine CIDR-Maske oder ein DNS-Host sein. Fail2ban wird keinen String sperren, der mit einer Adresse in dieser Liste übereinstimmt. Mehrere Adressen können durch Leerzeichen #define definiert werden. ignoreip = 127.0.0.1 # "Bantime" ist die Anzahl der Sekunden, für die ein Host gesperrt oder gesperrt ist. bantime = 3600 # Die Zeit in Sekunden, die ein Host blockiert wird, wenn er eine maximale Anzahl von fehlgeschlagenen Abfragen durchführt. findtime = 600 # "Maxretry" ist die zulässige Anzahl von Fehlern, bevor er gesperrt wird. maxretry = 3
Geben Sie Ihre IP-Adresse in die persönliche Ignorip-Leitung ein. Sie können jede Adresse durch ein Leerzeichen trennen. IgnoreIP wird bestimmte IP-Adressen auf die Whitelist setzen und sicherstellen, dass sie nicht in Ihrem VPS fehlen. Die Angabe Ihrer Adresse stellt sicher, dass Sie sich nicht versehentlich von Ihrem eigenen virtuellen privaten Server verbannen.
Der nächste Schritt besteht darin, eine Sperrzeit festzulegen, die Anzahl von Sekunden, die ein Host vom Server gesperrt wird, wenn er gegen eine der Regeln verstößt. Dies ist besonders bei Robotern nützlich, die nach dem Verbot des Zugriffs einfach zum nächsten Ziel weiterfahren. Der Standardwert ist 10 Minuten, Sie können dies auf eine Stunde erhöhen, wenn Sie möchten.
Maxretry ist die Anzahl der falschen Zugriffsversuche, die ein Host haben kann, bevor seine Zugriffsversuche für die Dauer der Sperrzeit gesperrt werden.
Findtime bezieht sich auf die Zeit, die ein Host benötigt, um den Standardwert 10 Minuten einzugeben die angegebenen 10 Minuten, wird Ihre IP gesperrt und Sie können nicht darauf zugreifen.
Konfigurieren Sie ssh - iptables-Abschnitt in Jail.Local
Der Abschnitt SSH-Details befindet sich etwas weiter unten in den Einstellungen und ist bereits installiert und aktiviert. Obwohl Sie in diesem Abschnitt keine Änderungen vornehmen müssen, finden Sie weiter unten Details zu jeder Zeile.
[ssh - iptables] aktiviert = true filter = sshd action = iptables [name = SSH, port = ssh, protocol = tcp] sendmail-whois [name = SSH, dest = root, [email protected]] logpath = / var / log / sicheres maxretry = 5
Aktiviert bezieht sich einfach darauf, dass der SSH-Schutz aktiviert ist. Sie können es mit dem Wort false deaktivieren.
Filter, das Sie standardmäßig für sshd verwenden, bezieht sich auf die Konfigurationsdatei, die die Regeln enthält, die fail2banuses verwenden, um Übereinstimmungen zu finden. Der Name ist eine verkürzte Version der Dateierweiterung. Zum Beispiel verweist sshd auf /etc/fail2ban/filter.d/sshd.conf
Aktion, beschreibt die Schritte, die fail2ban ausführt, um eine übereinstimmende IP-Adresse zu sperren. Wie der Filtereintrag verweist jede Aktion auf eine Datei im Verzeichnis action.d. Die Standard-Ban-Aktion, iptable, finden Sie in /etc/fail2ban/action.d/iptables.conf
In iptables können Sie fail2ban weiter anpassen. Wenn Sie beispielsweise einen nicht standardmäßigen Port verwenden, können Sie die Portnummer in den Klammern in die Höhe ändern, sodass die Sichtlinie dieselbe Familie hat:
zum Beispiel . iptables [Name = SSH, Port = 30000, Protokoll = TCP]
Sie können in dieser Zeile auch das Protokoll von TCP auf UDP ändern, je nachdem, welches Sie von fail2ban überwachen lassen möchten.
Wenn auf Ihrem virtuellen privaten Server ein Mailserver konfiguriert ist, kann fail2ban Ihnen eine E-Mail senden, wenn eine IP-Adresse gesperrt wird. Im Fall von Bypass verweist sendmail-whois auf die Aktionen in /etc/fail2ban/action.d/sendmail-whois.conf.
log path bezieht sich auf den Speicherort des Protokolls, das von fail2ban verfolgt wird.
Die maximale Wiederholungszeile innerhalb des SSH-Abschnitts hat dieselbe Definition wie die Standardoption. Wenn jedoch ein Dienst aktiviert wurde und Sie für jeden bestimmte Werte haben möchten, können Sie hier den neuen maximalen Wiederholungsbetrag für SSH festlegen.
Neustart von fail2ban
Nachdem Sie Änderungen an der fail2ban-Konfiguration vorgenommen haben, stellen Sie immer sicher, dass Sie fail2ban neu starten:
sudo Neustart fail2ban-Dienst
Sie können die Regeln sehen, die fail2ban in Kraft setzt, in der IP-Tabelle:
iptables- LHat dir dieses Tutorial gefallen und geholfen?Sie können den Autor belohnen, indem Sie diesen Knopf drücken, um ihm einen positiven Punkt zu geben
