Ki jan yo enstale ak konfigirasyon Fail2ban sou Debian 11

Fail2ban se yon kad lojisyèl prevansyon entrizyon ki pwoteje sèvè òdinatè yo kont atak prensipalman fòs brital, entèdi move ajan itilizatè, entèdi eskanè URL, ak plis ankò. Fail2ban reyalize sa nan li aksè / erè mòso bwa nan sèvè w la oswa aplikasyon entènèt. Fail2ban kode nan langaj pwogramasyon python.

Tutorial sa a pral moutre w kouman pou w enstale Fail2ban epi fè kèk konfigirasyon ak egzanp konplè ak konsèy esansyèl pou w kòmanse sou Debian 11 Bullseye.

Kondisyon

  • OS rekòmande: Debian 11 Bullseye
  • Kont itilizatè: Yon kont itilizatè ki gen aksè sudo oswa rasin.
  • Pakè obligatwa: wje

Mizajou sistèm operasyon

Mete ajou ou dbyan sistèm operasyon pou asire tout pakè ki egziste deja yo ajou:

sudo apt update && sudo apt upgrade -y

Tutorial la pral sèvi ak la sudo kòmand ak sipoze ou gen estati sudo.

Pou verifye estati sudo sou kont ou:

sudo whoami

Egzanp pwodiksyon ki montre estati sudo:

[joshua@debian~]$ sudo whoami
root

Pou mete kanpe yon kont sudo ki deja egziste oswa nouvo, vizite leson patikilye nou an sou Ajoute yon itilizatè nan Sudoers sou Debian.

Pou itilize kont rasin, sèvi ak lòd sa a ak modpas rasin lan pou konekte.

su

reklam


Enstale Fail2ban

Pa default, Fail2ban vini enkli nan depo Debian 11 Bullseye. Pou enstale lojisyèl an, sèvi ak lòd sa a nan tèminal ou a:

sudo apt install fail2ban

Egzanp pwodiksyon:

Ki jan yo enstale ak konfigirasyon Fail2ban sou Debian 11

Kalite Y, lè sa a, peze antre kle kontinye epi konplete enstalasyon an.

Pa default, fail2ban apre enstalasyon an ta dwe aktif ak pèmèt. Pou verifye sa, sèvi ak sa ki annapre yo kòmand systemctl:

sudo systemctl status fail2ban

Egzanp pwodiksyon:

Ki jan yo enstale ak konfigirasyon Fail2ban sou Debian 11

Si sèvis fail2ban ou a pa aktive, kouri kòmandman sa yo pou kòmanse epi, si ou vle, aktive li sou bòt sistèm pa default:

sudo systemctl start fail2ban

Lè sa a, pou pèmèt fail2ban sou bòt sistèm, sèvi ak sa ki annapre yo:

sudo systemctl enable fail2ban

Anfen, verifye vèsyon an ak bati nan fail2ban:

fail2ban-client --version

Egzanp pwodiksyon:

Fail2Ban v0.11.2

Sa a montre ke ou gen youn nan dènye degaje ki estab soti, ki se vèr. 0.11.2 (2020/11/23) - (geri mond lan ak zouti sekirite). Si w ta renmen konnen alavni kote konstriksyon enstale ou a chita nan orè lage Fail2ban, vizite paj lage sou Paj Fail2ban Github la.

Konfigirasyon Fail2ban

Apre w fin ranpli enstalasyon an, kounye a nou bezwen fè kèk konfigirasyon ak konfigirasyon debaz. Fail2ban vini ak de fichye konfigirasyon ki sitiye nan /etc/fail2ban/jail.conf ak Fail2ban default la /etc/fail2ban/jail.d/defaults-debian.conf. Pa modifye dosye sa yo. Fichye konfigirasyon orijinal yo se orijinal ou epi yo pral ranplase nan nenpòt aktyalizasyon nan Fail2ban alavni.

Koulye a, ou ka mande ki jan nou mete Fail2ban kòm si ou mete ajou epi pèdi anviwònman ou yo. Senp, nou kreye kopi ki fini nan .lokal olye pou yo .konf kòm Fail2ban ap toujou li .lokal fichye yo an premye anvan yo chaje .konf si li pa ka jwenn youn.

Pou fè sa, sèvi ak lòd sa a:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Koulye a, louvri fichye konfigirasyon an pou kontinye ak konfigirasyon:

sudo nano /etc/fail2ban/jail.local

Apre sa, leson patikilye a pral kouri sou kèk paramèt ke ou ka itilize oswa modifye jan ou renmen. Remake byen ke pifò paramèt yo kòmante soti; leson patikilye a pral dekomantè liy yo nan kesyon oswa modifye sa yo ki deja egziste nan anviwònman yo egzanp.

Sonje byen, sa yo se anviwònman opsyonèl, epi ou ka mete tou sa ou renmen si ou konnen plis sou fail2ban epi ou gen konfyans nan.

Entèdiksyon tan ogmantasyon

Premye anviwònman ou pral rankontre se entèdiksyon tan. Ou ta dwe pèmèt sa a chak fwa atakè a retounen. Li pral ogmante tan entèdiksyon an, ekonomize sistèm ou a soti nan toujou ap re-entèdiksyon menm IP a si longè tan entèdiksyon ou yo minè; pou egzanp, 1 èdtan, ou ta vle sa a yo dwe pi long si atakè a retounen x5 fwa.

Ou bezwen tou mete yon miltiplikatè oswa faktè pou entèdiksyon ogmantasyon lojik travay. Ou ka chwazi nenpòt nan sa yo; sepandan, nan gid nou an, nou pito miltiplikatè yo, jan yo mete aksan sou nan egzanp ki anba a, paske ou ka mete ogmantasyon tan entèdiksyon koutim yo renmen ou. Plis eksplikasyon se nan konfigirasyon an sou matematik ki dèyè li.

Egzanp anba a:

Ki jan yo enstale ak konfigirasyon Fail2ban sou Debian 11

Lis IP blan yo nan Fail2ban

Next nan lis la, nou rankontre opsyon whitelisting, retire sa ki annapre yo epi adrese nenpòt adrès IP ou vle yo mete lis.

ignoreip = 127.0.0.1/8 ::1 192.167.5.5 (example IP address)

Asire w ke ou espas oswa vigil ant adrès IP yo. Ou ka lis ranje IP tou.

Egzanp anba a:

Ki jan yo enstale ak konfigirasyon Fail2ban sou Debian 11

Default Entèdiksyon Tan Mete-Up

Defo tan entèdiksyon yo se default 10 minit ak 10 minit jwenn sou 5 retry. Yon eksplikasyon sou sa a se Fail2ban prizon ak filtraj pral entèdi atakè w la pou 10 minit apre li fin eseye menm atak la nan 10 minit. (jwenn tan) x 5 fwa (reesye). Ou ka mete kèk paramèt entèdiksyon default isit la.

Sepandan, lè ou rive nan prizon, li konseye pou fikse diferan tan entèdiksyon paske kèk entèdiksyon ta dwe otomatikman pi long pase lòt, ki gen ladan retay ki ta dwe mwens oswa plis.

Egzanp anba a:

Ki jan yo enstale ak konfigirasyon Fail2ban sou Debian 11

E-Mail mete kanpe ak Fail2ban

Ou ka mete yon adrès imel pou Fail2ban voye rapò. Defo a aksyon = %(action_mw)s ki entèdi IP ofiske a epi voye yon imèl ak yon rapò whois pou ou revize.

Sepandan, nan katab action.d ou a, genyen lòt opsyon imel pou rapòte non sèlman pou tèt ou men voye imèl bay founisè hosting sou aktivite atakè a pou yon bagay ka fè. Remake byen, fè sa sèlman si ou itilize yon prokurasyon imel kòm kèk atakè pa pral pran jantiyès sa a oswa jwenn imel la dirèkteman ak adrès IP sèvè ou a, sèvi ak aksyon sa a ak anpil prekosyon oswa pa ditou.

Egzanp anba a:

# Destination email address used solely for the interpolations in
# jail.{conf,local,d/*} configuration files.
destemail = admin@example.com

# Sender e-mail address used solely for some actions
sender = fail2ban@example.com

Egzanp:

Ki jan yo enstale ak konfigirasyon Fail2ban sou Debian 11

Remake byen, pa default, Fail2ban itilize sendmail MTA pou notifikasyon imel. Ou ka chanje sa a nan fonksyon lapòs pa fè bagay sa yo:

Chanje soti nan:

mta = sendmail

Chanje pou:

mail = sendmail

Fail2ban Jails

Apre sa, nou vin nan prizon. Ou ka mete prizon pre-defini ak filtè ak aksyon kreye pa kominote a ki kouvri anpil aplikasyon sèvè popilè. Ou ka fè prizon koutim oswa jwenn moun ekstèn sou divès kalite esansyèl ak sit entènèt kominotè yo; sepandan, nou pral mete defo Fail2ban pake prizon yo.

Default mete kanpe pou tout prizon yo dapre foto ki anba a. Remake kijan pa gen anyen ki pèmèt.

Egzanp anba a:

[apache-badbots]
# Ban hosts which agent identifies spammer robots crawling the web
# for email addresses. The mail outputs are buffered.
port     = http,https
logpath  = %(apache_access_log)s
bantime  = 48h
maxretry = 1

Se konsa, nou gen yon sèvè Apache 2 HTTP, ak tankou filtre / entèdiksyon move bots, tout sa ou bezwen fè se ajoute pèmèt = vre kòm egzanp ki anba a.

[apache-badbots]
# Ban hosts which agent identifies spammer robots crawling the web
# for email addresses. The mail outputs are buffered.
enabled = true
port     = http,https
logpath  = %(apache_access_log)s
bantime  = 48h
maxretry = 1

Remake ki jan reesye max la egal 1, ak tan entèdiksyon an se 48H. Sa a se yon retry max endividyèl ak anviwònman longè entèdiksyon pou prizon sa a ki pral otomatikman ogmante ak miltiplikatè entèdiksyon nou mete pi bonè nan gid la. Si nenpòt nan filtè yo manke sa a, ou ka ajoute li kòm yon egzanp.

[apache-noscript]
enabled = true
port     = http,https
logpath  = %(apache_error_log)s

Chanje pi wo a egzanp sa a anba a:

[apache-noscript]
enabled = true
port     = http,https
logpath  = %(apache_error_log)s
bantime = 1d
maxretry = 3

Apre sa, ou ta renmen gen aksyon diferan pase sa ki espesifye nan konfigirasyon default ou a nan /etc/fail2ban/jail.local, aksyon adisyonèl ou ka jwenn nan anyè action.d. Aksyon diferan ki soti nan anyè sa a ka fasilman tabli si w suiv direksyon anndan liy konfigirasyon aksyon sa yo nan dosye yo, sonje pou w chanje non yo an premye. .prizon sou .conf, epi ajoute sa ki annapre yo nan konfigirasyon prizon ou a.

[apache-botsearch]
enabled = true
port     = http,https
logpath  = %(apache_error_log)s
banaction = action_mw
cloudflare
bantime = 72h
maxretry = 1

Kòm ou ka wè, nou te ajoute action_mw, kidonk li otomatikman entèdi dapre aksyon default nou an ak imèl nou yon rapò ak whois, Lè sa a, aksyon sa a, si ou itilize Cloudflare, li pral bloke adrès la IP sou sèvis la tou. Sonje byen, Cloudflare bezwen mete kanpe anvan w itilize. Li fichye action.d la cloudflare.conf.

Yon fwa ou kontan ak konfigirasyon ou a, fè kòmandman sa a pou rekòmanse fail2ban pou chaje nouvo prizon ou yo.

sudo systemctl restart fail2ban

reklam


Egzanp yo sèvi ak Fail2ban-client

Kounye a ke w ap mache ak Fail2ban, ou bezwen konnen kèk kòmandman fonksyònman debaz yo. Nou fè sa lè nou itilize kòmandman fail2ban-client. Ou ka bezwen gen privilèj sudo, tou depann de konfigirasyon ou.

Entèdi yon adrès IP:

sudo fail2ban-client set apache-botsearch banip <ip address>

Unban yon adrès IP:

sudo fail2ban-client set apache-botsearch unbanip <ip address>

Kòmandman pou pote meni èd la si ou bezwen jwenn lòt paramèt oswa jwenn èd sou yon sèl patikilye.

sudo fail2ban-client -h

Enstale UFW (pare-feu san konplike)

Pa default, Debian pa vini ak UFW. Pou itilizatè ki ta prefere itilize UFW ak Fail2ban, swiv etap ki anba yo.

Premyèman, enstale UFW:

sudo apt install ufw -y

Apre sa, verifye enstalasyon an ak bati:

sudo ufw version

Egzanp pwodiksyon:

ufw 0.36
Copyright 2008-2015 Canonical Ltd.

Koulye a, pèmèt sou demaraj sistèm lan epi aktive fail2ban lè l sèvi avèk lòd tèminal la:

sudo ufw enable

Egzanp pwodiksyon:

Firewall is active and enabled on system startup

Apre sa, ajoute UFW nan banasyon ou, ki pito pa pral sèvi ak IPTABLES yo default epi ou sa ou presize:

Egzanp soti nan:

[apache-botsearch]
enabled = true
port     = http,https
logpath  = %(apache_error_log)s
bantime = 72h
maxretry = 1

Egzanp pou:

[apache-botsearch]
enabled = true
port     = http,https
logpath  = %(apache_error_log)s
banaction = ufw
bantime = 72h
maxretry = 1

Kòm ou ka wè, liy lan nouvo banaksyon = ufw te ajoute pou chanje aksyon entèdiksyon default la. Ou ka ajoute plizyè, di ou vle BAN sou UFW epi tou itilize script Cloudflare pou entèdi adrès IP la lè l sèvi avèk sèvis firewall yo ansanm ak rapòte adrès IP la bay. AbuseIPDB Fail2ban Entegrasyon:

Egzanp:

[apache-botsearch]
enabled = true
port     = http,https
logpath  = %(apache_error_log)s
banaction = ufw
                    cloudflare
                    abuseipdb
bantime = 72h
maxretry = 1

Ou ka jwenn yon lis aksyon prefè yo nan /etc/fail2ban/actions.d; tout aksyon yo gen konfigirasyon debaz ak ka itilize.

Pou wè adrès IP yo entèdi, sèvi ak lòd UFW sa a:

sudo ufw status verbrose

Egzanp pwodiksyon:

Anywhere                   REJECT      <IP ADDRESS>               # by Fail2Ban after 1 attempts against apache-botsearch

Kòm ou ka wè, ou ka wè UFW la se rejte adrès IP la apre yo te entèdi pa aksyon Fail2ban UFW sou la filtre apache-botsearch apre yon sèl tantativ. Sa a se yon egzanp sèlman nan Fail2ban k ap travay nan yon anviwònman ap viv, epi atann, ou ta dwe modifye filtè ou yo adapte bezwen ou yo.

Remak, pa retire adrès IP lè l sèvi avèk UFW. Asire w ou sèvi ak aksyon fail2ban-client unban, oswa IP a pral re-entèdi lè w retounen sou sit la paske UFW pa ka kominike tounen nan Fail2ban.


reklam


Mete ajou Fail2ban

Degaje Fail2ban pa soti souvan, kidonk ou pa pral wè chanjman enpòtan chak semèn oswa, pou pwoblèm sa a, menm chak mwa. Sepandan, pou mete ajou Fail2ban, menm pwosesis la aplike lè w tcheke sistèm Debian ou a pou mizajou.

Premyèman, sèvi ak la Apt aktyalizasyon lòd:

sudo apt update

Dezyèmman, si gen yon aktyalizasyon ki disponib, ou ka itilize yon apt upgrade, ki pral kòmanse amelyorasyon an plis nenpòt lòt, oswa si ou prefere ajou fail2ban, sèvi ak bagay sa yo:

sudo apt upgrade fail2ban

Dezenstale Fail2ban

Si ou pa bezwen Fail2ban ankò, pou retire li nan sistèm ou an, sèvi ak lòd sa a:

sudo apt autoremove fail2ban --purge

Egzanp pwodiksyon:

Kalite Y, Lè sa a, peze la ANTRE KLE pou kontinye ak retire a.

Remake byen ke sa a pral tou retire nenpòt depandans ki pa itilize ki te enstale ak Fail2ban orijinal pou retire konplè.


reklam


Siveyans Fail2ban Logs

Anpil erè komen yo mete prizon epi yo mache ale san yo pa teste oswa kontwole sa yo ap fè. Revize mòso bwa se esansyèl, ki mòso bwa a fail2ban se nan chemen default li yo /var/log/fail2ban.log.

Si ou gen yon sèvè k ap resevwa trafik desan, yon kòmand ekselan pou gade an dirèk pou wè nenpòt pwoblèm epi kenbe yon je sou li pandan w ap travay nan lòt serveurs se sèvi ak la. ke -f kòmand anba a.

sudo tail -f /var/log/fail2ban.log

Kòmandman an ka vin an sou la men pou tcheke tach san yo pa oblije plonje nan antre.

Kòmantè ak konklizyon

Leson patikilye a te montre w prensip debaz yo pou enstale Fail2ban sou sistèm Debian 11 Bullseye ak mete kèk prizon ak filtè ki disponib. Fail2ban se yon zouti ki pisan. Ou ka mete l kanpe nan plizyè fason diferan de sa mwen te montre isit la. Li se jis yon egzanp jwenn fason ou alantou li, pou kòmanse. Fail2ban devlope aktivman e li se yon chwa solid pou deplwaye sou sèvè ou a nan moman sa yo kote atak yo ap vin tèlman souvan.

4 panse sou "Ki jan yo enstale ak konfigirasyon Fail2ban sou Debian 11"

  1. Bonjou FD,

    Mèsi pou repons lan. Èske ou te enstale UFW? Mwen jis teste li sou yon nouvo enstalasyon Debian 11, epi li fonksyone byen. Pa default, UFW pa enstale.

    Nan rasin, kouri apt enstale ufw oswa pou ki pa rasin sudo apt enstale ufw.

    Si w te enstale UFW, fè m konnen; Mwen kirye pou konnen depi sa ta enteresan. Ou ka sote UFW epi itilize tab IP default yo. UFW se jis yon kalite lavi siplemantè.

    Mèsi

    Reply
    • Mèsi, Hans, ou gen rezon; Mwen te ajiste li. Mwen te itilize miniskil sou enstalasyon Debian mwen an, kidonk li pa t kòrèk pou mwen te plase UFW nan leson patikilye a, kidonk mwen konprann poukisa kèk te gen pwoblèm kounye a apre yo te vize sa a.

      Apresye mesaj la. Mesi anko.

      Reply

Leave a Comment