Hvernig á að setja upp og stilla Fail2ban á Debian 11

Fail2ban er hugbúnaðarramma til að koma í veg fyrir innbrot sem verndar tölvuþjóna fyrst og fremst gegn árásum með grimmilegum krafti, banna slæma notendamiðla, banna vefslóðaskanna og margt fleira. Fail2ban nær þessu með því að lesa aðgangs-/villuskrár á netþjóninum þínum eða vefforritum. Fail2ban er kóðað í python forritunarmálinu.

Eftirfarandi einkatími mun kenna þér hvernig á að setja upp Fail2ban og gera nokkrar stillingar með fullkomnum dæmum og nauðsynlegum ráðum til að koma þér af stað á Debian 11 Bullseye.

Forsendur

  • Mælt með stýrikerfi: Debian 11 Bullseye
  • Notendareikningur: Notendareikningur með sudo eða rót aðgang.
  • Nauðsynlegir pakkar: wget

Uppfærðu stýrikerfi

Uppfærðu þína Debian stýrikerfi til að tryggja að allir núverandi pakkar séu uppfærðir:

sudo apt update && sudo apt upgrade -y

Kennsluefnið mun nota sudo skipun og að því gefnu að þú sért með sudo stöðu.

Til að staðfesta sudo stöðu á reikningnum þínum:

sudo whoami

Dæmi um úttak sem sýnir sudo stöðu:

[joshua@debian~]$ sudo whoami
root

Til að setja upp núverandi eða nýjan sudo reikning skaltu fara á kennsluna okkar á Að bæta notanda við Sudoers á Debian.

Til að nota rótarreikningur, notaðu eftirfarandi skipun með rót lykilorðinu til að skrá þig inn.

su

Fáðu


Settu upp Fail2ban

Sjálfgefið er að Fail2ban fylgir Debian 11 Bullseye geymslunni. Til að setja upp hugbúnaðinn skaltu nota eftirfarandi skipun í flugstöðinni þinni:

sudo apt install fail2ban

Dæmi úttak:

Hvernig á að setja upp og stilla Fail2ban á Debian 11

Tegund Y, Þá ýttu á enter takkann til að halda áfram og ljúka uppsetningunni.

Sjálfgefið er að fail2ban eftir uppsetningu ætti að vera virkt og virkt. Til að staðfesta þetta skaltu nota eftirfarandi systemctl skipun:

sudo systemctl status fail2ban

Dæmi úttak:

Hvernig á að setja upp og stilla Fail2ban á Debian 11

Ef fail2ban þjónustan þín er ekki virkjuð skaltu keyra eftirfarandi skipanir til að byrja og, ef þess er óskað, virkjaðu hana sjálfgefið við ræsingu kerfisins:

sudo systemctl start fail2ban

Síðan til að virkja fail2ban við ræsingu kerfisins, notaðu eftirfarandi:

sudo systemctl enable fail2ban

Að lokum, staðfestu útgáfu og smíði fail2ban:

fail2ban-client --version

Dæmi úttak:

Fail2Ban v0.11.2

Þetta sýnir að þú ert með eina af nýjustu stöðugu útgáfunum, sem er ver. 0.11.2 (2020/11/23) – (lækna heiminn með öryggisverkfærum). Ef þú vilt vita í framtíðinni hvar uppsett smíði þín er í Fail2ban útgáfuáætluninni skaltu fara á útgáfusíðuna á Síða Fail2ban Github.

Stilla Fail2ban

Eftir að uppsetningunni er lokið þurfum við nú að gera smá uppsetningu og grunnstillingar. Fail2ban kemur með tveimur stillingarskrám sem eru staðsettar í /etc/fail2ban/jail.conf og Sjálfgefið Fail2ban /etc/fail2ban/jail.d/defaults-debian.conf. Ekki breyta þessum skrám. Upprunalegu uppsetningarskrárnar eru frumritin þín og verður skipt út fyrir allar uppfærslur á Fail2ban í framtíðinni.

Nú gætirðu velt því fyrir þér hvernig við setjum Fail2ban upp eins og þú uppfærir og glatir stillingunum þínum. Einfalt, við búum til afrit sem enda á .staðar Í stað þess að .conf eins og Fail2ban mun alltaf lesa .staðar skrár fyrst fyrir hleðslu .conf ef það finnur ekki einn.

Til að gera þetta, notaðu eftirfarandi skipun:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Opnaðu nú stillingarskrána til að halda áfram að stilla:

sudo nano /etc/fail2ban/jail.local

Næst mun kennslan keyra yfir nokkrar stillingar sem þú getur notað eða breytt að þínum smekk. Athugaðu að flestar stillingar eru gerðar athugasemdir; kennsluefnið mun taka úr athugasemdum við viðkomandi línur eða breyta þeim sem fyrir eru í dæmistillingunum.

Mundu að þetta eru valfrjálsar stillingar og þú getur stillt hvað sem þú vilt ef þú veist meira um fail2ban og hefur sjálfstraust.

Bann tímahækkanir

Fyrsta stillingin sem þú rekst á er bann tímahækkanir. Þú ættir að virkja þetta í hvert skipti sem árásarmaðurinn kemur aftur. Það mun auka banntímann og bjarga kerfinu þínu frá því að banna sömu IP sífellt aftur ef banntíminn þinn er lítill; til dæmis, 1 klukkustund, þú myndir vilja að þetta væri lengur ef árásarmaðurinn skilar x5 sinnum.

Þú þarft líka að stilla margfaldara eða stuðli til að bannaukning rökfræði virki. Þú getur valið eitthvað af þessu; Hins vegar, í handbókinni okkar, kjósum við margfaldara, eins og fram kemur í dæminu okkar hér að neðan, þar sem þú getur stillt sérsniðna banntímahækkanir eins og þú vilt. Nánari skýring er í uppsetningunni á stærðfræðinni á bak við það.

Dæmi hér að neðan:

Hvernig á að setja upp og stilla Fail2ban á Debian 11

Hvítlistaðu IP-tölur í Fail2ban

Næst á listanum rekumst við á valmöguleika á hvítlista, afskrifaðu eftirfarandi og taktu hvaða IP tölur sem þú vilt vera á hvítlista.

ignoreip = 127.0.0.1/8 ::1 192.167.5.5 (example IP address)

Gakktu úr skugga um að þú hafir bil eða kommu á milli IP vistfönganna. Þú getur líka hvítlistað IP svið.

Dæmi hér að neðan:

Hvernig á að setja upp og stilla Fail2ban á Debian 11

Sjálfgefin uppsetning banntíma

Sjálfgefið er að banntímar séu sjálfgefnir 10 mínútur með 10 mínútna finnandi við 5 tilraunir aftur. Skýring á þessu er að Fail2ban fangelsi með síun mun banna árásarmann þinn í 10 mínútur eftir að hann hefur reynt sömu árásina aftur eftir 10 mínútur (finna tíma) x 5 sinnum (reynir aftur). Þú getur stillt nokkrar sjálfgefnar bannstillingar hér.

Hins vegar, þegar þú kemur í fangelsi, er ráðlagt að stilla mismunandi banntíma þar sem sum bönn ættu sjálfkrafa að vera lengri en önnur, þar með talið endurtilraunir sem ættu að vera minni eða fleiri.

Dæmi hér að neðan:

Hvernig á að setja upp og stilla Fail2ban á Debian 11

Tölvupóstur settur upp með Fail2ban

Þú getur stillt tölvupóstfang fyrir Fail2ban til að senda skýrslur. Sjálfgefið aðgerð = %(action_mw)s sem bannar móðgandi IP og sendir tölvupóst með whois skýrslu sem þú getur skoðað.

Hins vegar, í action.d möppunni þinni, eru aðrir valkostir fyrir tölvupóst til að tilkynna ekki aðeins þér sjálfum heldur senda tölvupóst til hýsingaraðila um virkni árásarmannsins svo eitthvað sé hægt að gera. Athugaðu, gerðu þetta aðeins ef þú notar umboð fyrir tölvupóst þar sem sumir árásarmenn munu ekki taka vel í þetta eða fá tölvupóstinn beint með IP tölu netþjónsins þíns, nota þessa aðgerð með mikilli varúð eða alls ekki.

Dæmi hér að neðan:

# Destination email address used solely for the interpolations in
# jail.{conf,local,d/*} configuration files.
destemail = admin@example.com

# Sender e-mail address used solely for some actions
sender = fail2ban@example.com

Dæmi:

Hvernig á að setja upp og stilla Fail2ban á Debian 11

Athugið að sjálfgefið notar Fail2ban sendmail MTA fyrir tilkynningar í tölvupósti. Þú getur breytt þessu í póstaðgerð Með því að gera eftirfarandi:

Breyta úr:

mta = sendmail

Breyta í:

mail = sendmail

Fail2ban fangelsi

Næst komum við í fangelsi. Þú getur stillt fyrirfram skilgreind fangelsi með síum og aðgerðum sem samfélagið hefur búið til og ná yfir mörg vinsæl netþjónaforrit. Þú getur búið til sérsniðin fangelsi eða fundið utanaðkomandi á ýmsum meginatriði og vefsíður samfélagsins; hins vegar munum við setja upp sjálfgefna Fail2ban pakka fangelsin.

Sjálfgefin uppsetning fyrir öll fangelsin eins og á myndinni hér að neðan. Taktu eftir því hvernig ekkert er virkt.

Dæmi hér að neðan:

[apache-badbots]
# Ban hosts which agent identifies spammer robots crawling the web
# for email addresses. The mail outputs are buffered.
port     = http,https
logpath  = %(apache_access_log)s
bantime  = 48h
maxretry = 1

Svo, við erum með Apache 2 HTTP netþjón, og eins og sía/banna slæma vélmenni, allt sem þú þarft að gera er að bæta við virkt = satt eins og dæmið hér að neðan.

[apache-badbots]
# Ban hosts which agent identifies spammer robots crawling the web
# for email addresses. The mail outputs are buffered.
enabled = true
port     = http,https
logpath  = %(apache_access_log)s
bantime  = 48h
maxretry = 1

Taktu eftir hvernig hámarks endurtilraun er jöfn 1 og banntíminn er 48H. Þetta er einstaklingsbundin hámarksreynsla og bannar lengdarstillingu fyrir þetta fangelsi sem mun sjálfkrafa aukast með bannsmargfaldaranum sem við settum upp fyrr í handbókinni. Ef eitthvað af síunum vantar þetta geturðu bætt því við sem dæmi.

[apache-noscript]
enabled = true
port     = http,https
logpath  = %(apache_error_log)s

Breyttu fyrir ofan eftirfarandi dæmi hér að neðan:

[apache-noscript]
enabled = true
port     = http,https
logpath  = %(apache_error_log)s
bantime = 1d
maxretry = 3

Næst, þú vilt hafa aðrar aðgerðir en tilgreindar eru í sjálfgefnu uppsetningunni þinni í /etc/fail2ban/jail.local, viðbótaraðgerðir sem þú getur fundið í action.d skránni. Auðvelt er að setja upp mismunandi aðgerðir úr þessari möppu með því að fylgja leiðbeiningum inni í þessum aðgerðastillingarlínum í skránum, muna að endurnefna þær fyrst í .fangelsi á .conf, og bætir svo eftirfarandi við fangelsisuppsetninguna þína.

[apache-botsearch]
enabled = true
port     = http,https
logpath  = %(apache_error_log)s
banaction = action_mw
cloudflare
bantime = 72h
maxretry = 1

Eins og þú sérð, bættum við action_mw við, þannig að það bannar sjálfkrafa samkvæmt sjálfgefnum aðgerðum okkar og sendir okkur tilkynningu í tölvupósti með whois, síðan eftirfarandi aðgerð, ef þú notar Cloudflare, mun það líka loka IP tölu á þjónustunni. Mundu að Cloudflare þarf að setja upp fyrir notkun. Lestu action.d skrána cloudflare.conf.

Þegar þú ert ánægður með uppsetninguna skaltu gera eftirfarandi skipun til að endurræsa fail2ban til að hlaða nýju fangelsunum þínum.

sudo systemctl restart fail2ban

Fáðu


Dæmi um notkun Fail2ban-client

Nú þegar þú ert kominn í gang með Fail2ban þarftu að kunna nokkrar grunnaðgerðaskipanir. Við gerum þetta með því að nota fail2ban-client skipun. Þú gætir þurft að hafa sudo réttindi, allt eftir uppsetningu þinni.

Banna IP tölu:

sudo fail2ban-client set apache-botsearch banip <ip address>

Afbannaðu IP tölu:

sudo fail2ban-client set apache-botsearch unbanip <ip address>

Skipun til að koma upp hjálparvalmyndinni ef þú þarft að finna viðbótarstillingar eða fá aðstoð við tiltekna.

sudo fail2ban-client -h

Settu upp UFW (óbrotinn eldvegg)

Sjálfgefið er að Debian fylgir ekki UFW. Fyrir notendur sem vilja frekar nota UFW með Fail2ban, fylgdu skrefunum hér að neðan.

Fyrst skaltu setja upp UFW:

sudo apt install ufw -y

Næst skaltu staðfesta uppsetninguna og byggja:

sudo ufw version

Dæmi úttak:

ufw 0.36
Copyright 2008-2015 Canonical Ltd.

Virkjaðu nú við ræsingu kerfisins og virkjaðu fail2ban með því að nota flugstöðvarskipunina:

sudo ufw enable

Dæmi úttak:

Firewall is active and enabled on system startup

Næst, bættu UFW við bankann þinn, sem mun í staðinn ekki nota sjálfgefna IPTABLES og þú það sem þú tilgreinir:

Dæmi frá:

[apache-botsearch]
enabled = true
port     = http,https
logpath  = %(apache_error_log)s
bantime = 72h
maxretry = 1

Dæmi um:

[apache-botsearch]
enabled = true
port     = http,https
logpath  = %(apache_error_log)s
banaction = ufw
bantime = 72h
maxretry = 1

Eins og þú sérð, nýja línan banaction = ufw var bætt við til að breyta sjálfgefna bannaðgerðinni. Þú getur bætt við mörgum, sagt að þú viljir BANNA á UFW og einnig notað Cloudflare forskriftina til að banna IP tölu með því að nota eldveggsþjónustuna ásamt því að tilkynna IP tölu til Misnotkun IPDB Fail2ban samþætting:

Dæmi:

[apache-botsearch]
enabled = true
port     = http,https
logpath  = %(apache_error_log)s
banaction = ufw
                    cloudflare
                    abuseipdb
bantime = 72h
maxretry = 1

Lista yfir tilbúnar aðgerðir má finna í /etc/fail2ban/actions.d; allar aðgerðir hafa grunnuppsetningu og notkunartilvik.

Til að skoða IP tölur sem eru bannaðar skaltu nota eftirfarandi UFW skipun:

sudo ufw status verbrose

Dæmi úttak:

Anywhere                   REJECT      <IP ADDRESS>               # by Fail2Ban after 1 attempts against apache-botsearch

Eins og þú sérð geturðu séð UFW er hafna IP tölunni eftir að hafa verið bannaður af Fail2ban UFW aðgerðum á sía apache-botsearch eftir eina tilraun. Þetta er aðeins dæmi um að Fail2ban vinnur í lifandi umhverfi og til að búast við ættirðu að breyta síunum þínum til að henta þínum þörfum.

Athugaðu, ekki afbanna IP tölur með UFW. Gakktu úr skugga um að nota fail2ban-client unban aðgerðina, annars verður IP-talan aftur bönnuð þegar þú ferð aftur á síðuna þar sem UFW getur ekki tjáð sig aftur til Fail2ban.


Fáðu


Uppfærðu Fail2ban

Fail2ban útgáfur koma ekki oft út, svo þú munt ekki sjá verulegar breytingar í hverri viku eða, fyrir það mál, jafnvel mánaðarlega. Hins vegar, til að uppfæra Fail2ban, gildir sama ferli þegar þú skoðar Debian kerfið þitt fyrir uppfærslur.

Fyrst skaltu nota líklegur til að uppfæra stjórn:

sudo apt update

Í öðru lagi, ef uppfærsla er tiltæk, geturðu notað viðeigandi uppfærsla, sem mun hefja uppfærsluna ásamt öðrum, eða ef þú vilt frekar uppfæra fail2ban, notaðu eftirfarandi:

sudo apt upgrade fail2ban

Fjarlægðu Fail2ban

Ef þú þarfnast ekki lengur Fail2ban, til að fjarlægja það úr kerfinu þínu, notaðu eftirfarandi skipun:

sudo apt autoremove fail2ban --purge

Dæmi úttak:

Tegund Y, ýttu síðan á ENTER LYKILL að halda áfram að fjarlægja.

Athugaðu að þetta mun einnig fjarlægja allar ónotaðar ósjálfstæðir sem voru upphaflega settir upp með Fail2ban til að fjarlægja algjörlega.


Fáðu


Vöktun á Fail2ban logs

Mörg algeng mistök eru að setja upp fangelsi og ganga í burtu án þess að prófa eða fylgjast með því sem þeir eru að gera. Nauðsynlegt er að skoða annála, þar sem fail2ban-skráin er á sjálfgefna slóð sinni /var/log/fail2ban.log.

Ef þú ert með netþjón sem fær almennilega umferð, þá er frábær skipun til að horfa í beinni til að sjá vandamál og fylgjast með því þegar þú vinnur á öðrum netþjónum að nota hali -f skipun hér að neðan.

sudo tail -f /var/log/fail2ban.log

Skipunin getur komið sér vel við skyndiskoðun án þess að þurfa að kafa í skógarhögg.

Athugasemdir og niðurstaða

Kennslan hefur sýnt þér grunnatriði þess að setja upp Fail2ban á Debian 11 Bullseye kerfinu og setja upp nokkur fangelsi með þeim síum sem til eru. Fail2ban er öflugt tæki. Þú getur sett það upp á marga mismunandi vegu frá því sem ég hef sýnt hér. Þetta er bara dæmi um að komast leiðar sinnar, til að byrja með. Fail2ban er virkt þróað og er traustur kostur til að dreifa á netþjóninum þínum á þessum tímum þar sem árásir eru að verða svo tíðar.

Gerast áskrifandi
Tilkynna um
4 Comments
Inline endurgjöf
Skoða allar athugasemdir

UFW -> ufw í jail.local stillingum.
(mistekst með „UFW“)

banaction = ufw
–> Lágstafir fyrir ufw eru mikilvægir í dæminu þínu fyrir jail.local

4
0
Vilt elska hugsanir þínar, vinsamlegast skrifaðu athugasemdir.x