Fail2ban: Skirtumas tarp puslapio versijų

Iš Žinynas.
Jump to navigation Jump to search
27 eilutė: 27 eilutė:
 
  ignoreip = 127.0.0.1/8 10.131.21.138
 
  ignoreip = 127.0.0.1/8 10.131.21.138
 
pvz.: jeigu ssh portas nėra standartinis, jį pakeičiame
 
pvz.: jeigu ssh portas nėra standartinis, jį pakeičiame
  [ssh]
+
  [sshd]
 
  enabled = true
 
  enabled = true
 
  port = 220
 
  port = 220

09:49, 13 kovo 2024 versija

Įrankis skirtas blokuoti pasikartojančioms SSH auth atakoms. Tokioms kaip brueforce, bandant atspėti vartotojo slaptažodį naudojantis dictionary ar atsitiktinai generuotais simboliais. Šis įrankis gali ne tik aprėpti SSH atakų blokavimą skaitant autorizacijos žurnalą bet ir kitus žimių servisų žurnalus tokių kaip apache http auth, imap, smtp, pop3 ir t.t.

Diegimas

Debian/Ubuntu

apt-get install fail2ban

Gentoo

emerge -av fail2ban

CentOS/Redhat

yum install fail2ban

 ArchLinux

pacman -S fail2ban

 FreeBSD

pkg install fail2ban

Konfigūravimas

Konfigūracijos failai:

  • /etc/fail2ban/fail2ban.conf - Nusistato vidiniai fail2ban nustatymai.
  • /etc/fail2ban/jail.d/ - direktorija kurioje nurodomi konfigai su failais (kokius servisus stebėti) ssh nutylimai įjungtas visada.
  • /etc/fail2ban/filter.d/ - direktorija kurioje surašomi servisų žurnalų filtrai (failuose) bei aprašomas jų parsinimas, kaip aptikti atakas.
  • /etc/fail2ban/action.d/ - direktorija kurioje surašytos prevencijos taisyklės (firewall blokavimai ir t.t.).
  • /etc/fail2ban/paths-common.conf ir paths-debian.conf - šiuose failuose nurodomi keliai iki žurnalų.
  • /etc/fail2ban/jail.conf - globalios taisyklės, tokios kaip užlaikymo laikas (bano laikas) kokiu reitingu daryti blokavimus ir kaip reaguoti i juos. Kokios firewall taisyklės ir t.t.

Nustatymų keitimas

Pvz.: norime pakeisti max ban time (kiek trūks užblokavimas) šias taisykles rašome į lokalų failą /etc/fail2ban/jail.d/customization.local, pavyzdys apačioje:

[DEFAULT]
bantime = 3600
ignoreip = 127.0.0.1/8 10.131.21.138

pvz.: jeigu ssh portas nėra standartinis, jį pakeičiame

[sshd]
enabled = true
port = 220

Valdymas

Statusas

fail2ban-client status sshd

Blokuotų ip adresų išimimas

fail2ban-client set sshd unbanip x.x.x.x