Hvernig á að setja upp Fail2ban á Ubuntu 20.04 með stillingum

Í dag munum við skoða hvernig þú getur sett upp Fail2ban á Ubuntu 20.04 LTS Focal, sem mun vernda netþjóna þína gegn skaðlegum árásum frá slæmum vélmennum og tölvuþrjótum. Þeir sem ekki þekkja Fail2ban eru innbrotsvarnarhugbúnaðarrammi sem verndar tölvuþjóna fyrir fyrst og fremst brute-force árásum og banna slæma notendafulltrúa, banna vefslóðaskanna og margt fleira. Fail2ban nær þessu með því að lesa aðgangs-/villuskrár á netþjóninum þínum eða vefforritum. Fail2ban er kóðað í python forritunarmálinu.

Í handbókinni mun gefa yfirlit um uppsetningu á Fail2ban á Ubuntu 20.04 og nokkrar grunnuppsetningar og ábendingar. Handbókin er einnig samhæf við Ubuntu 21.04.

Settu upp Fail2ban

Ubuntu geymslur koma með Fail2ban. Þú þarft sudo réttindi til að setja það upp með eftirfarandi skipunum.

sudo apt update && sudo apt upgrade -y

Næst skaltu setja upp Fail2ban með því að framkvæma eftirfarandi skipun:

sudo apt install fail2ban
fail2ban apt install já

Gerð „Y“ Að setja upp.

Þegar þú hefur lokið við að setja upp Fail2ban þurfum við að athuga þjónustustöðu þess. Sjálfgefið, þegar Fail2ban er sett upp, ætti það að vera sjálfvirkt og ræst. Notaðu eftirfarandi skipun til að sjá.

sudo systemctl status fail2ban
fail2ban kerfi allt í lagi

Þú ættir að sjá stöðuna í lagi í grænu eins og á myndinni hér að ofan. Ef það af einhverjum ástæðum er ekki ræst og virkjað til að byrja á kerfishleðslu skaltu nota eftirfarandi skipanir.

sudo systemctl start fail2ban && sudo systemctl enable fail2ban

Til að stöðva og slökkva á Fail2ban í framtíðinni er hægt að gera þetta með því að slá inn eftirfarandi skipun:

sudo systemctl stop fail2ban && sudo systemctl disable fail2ban

Fáðu


Settu upp Fail2ban stillingarskrár

Eftir að uppsetningunni er lokið þurfum við nú að gera smá uppsetningu og grunnstillingar. Fail2ban kemur með tveimur stillingarskrám sem eru staðsettar í /etc/fail2ban/jail.conf og Sjálfgefið Fail2ban /etc/fail2ban/jail.d/defaults-debian.conf. Ekki breyta þessum skrám. Upprunalegu uppsetningarskrárnar eru frumritin þín og verður skipt út fyrir allar uppfærslur á Fail2ban í framtíðinni.

Nú gætirðu verið að velta fyrir þér hvernig við setjum Fail2ban upp eins og þú uppfærir og þú munt missa stillingarnar þínar. Einfalt, við búum til afrit sem enda á .staðar Í stað þess að .conf eins og Fail2ban mun alltaf lesa .staðar skrár fyrst fyrir hleðslu .conf ef það finnur ekki einn.

Til að gera þetta skaltu nota eftirfarandi skipanir.

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
fail2ban afriti lokið

Stilla Fail2ban

Nú ertu kominn að hlutanum þar sem þú getur opnað fangelsi.staður og stilltu stillingarnar með nano editor.

sudo nano /etc/fail2ban/jail.local

Fáðu


Bann tímahækkanir

Fyrstu stillingarnar sem þú rekst á eru bann tímahækkanir. Þú ættir að virkja þetta í hvert skipti sem árásarmaðurinn kemur aftur. Það mun auka banntímann og bjarga kerfinu þínu frá því að banna sömu IP sífellt aftur ef banntíminn þinn er lítill; til dæmis, 1 klukkustund, þú myndir vilja að þetta væri lengur ef árásarmaðurinn skilar x5 sinnum.

Þú þarft líka að stilla margfaldara eða stuðli til að bannaukning rökfræði virki. Þú getur valið eitthvað af þessu; Hins vegar, í handbókinni okkar, kjósum við margfaldara, eins og fram kemur í dæminu okkar hér að neðan, þar sem þú getur stillt sérsniðna banntímahækkanir eins og þú vilt. Nánari skýring er í uppsetningunni á stærðfræðinni á bak við það.

fail2ban margfaldarar

Hvítlistaðu IP-tölur í Fail2ban

Næst á listanum rekumst við á valmöguleika á hvítlista, afskrifaðu eftirfarandi og taktu hvaða IP tölur sem þú vilt vera á hvítlista.

ignoreip = 127.0.0.1/8 ::1 180.53.31.33 (example IP address)

Gakktu úr skugga um að þú hafir bil eða kommu á milli IP vistfönganna. Þú getur líka hvítlistað IP svið.

hvítlisti ip fail2ban

Fáðu


Sjálfgefin uppsetning banntíma

Sjálfgefið er að banntímar séu sjálfgefnir 10 mínútur með 10 mínútna finnandi við 5 tilraunir aftur. Skýring á þessu er að Fail2ban fangelsi með síun mun banna árásarmanninn þinn í 10 mínútur eftir að hann hefur reynt sömu árásina aftur eftir 10 mínútur (finnatími) x 5 sinnum (endurtilraunir). Þú getur stillt nokkrar sjálfgefnar bannstillingar hér.

Hins vegar, þegar þú kemur í fangelsi, er ráðlagt að stilla mismunandi banntíma þar sem sum bönn ættu sjálfkrafa að vera lengri en önnur, þar með talið endurtilraunir sem ættu að vera minni eða fleiri.

fail2ban sjálfgefinn banntími

Tölvupóstur settur upp með Fail2ban

Þú getur stillt tölvupóstfang fyrir Fail2ban til að senda skýrslur. Sjálfgefin aðgerð = %(action_mw)s sem bannar móðgandi IP og sendir tölvupóst með whois skýrslu sem þú getur skoðað. Hins vegar, í action.d möppunni þinni, eru aðrir valkostir fyrir tölvupóst til að tilkynna ekki aðeins til sjálfs þíns heldur til að senda út tölvupóst til veitenda á svörtum lista og ISP árásarmannsins til að tilkynna.

Uppsetningardæmið hér að neðan:

# Destination email address used solely for the interpolations in
# jail.{conf,local,d/*} configuration files.
destemail = admin@example.com

# Sender e-mail address used solely for some actions
sender = fail2ban@example.com
fail2ban tölvupóststillingar

Fáðu


Fail2ban fangelsi

Næst komum við í fangelsi. Þú getur stillt fyrirfram skilgreind fangelsi með síum og aðgerðum sem samfélagið hefur búið til og ná yfir mörg vinsæl netþjónaforrit. Þú getur búið til sérsniðin fangelsi eða fundið utanaðkomandi á ýmsum meginatriðum og vefsíðum samfélagsins; hins vegar munum við setja upp með sjálfgefna Fail2ban pakkanum.

Sjálfgefin uppsetning fyrir öll fangelsin eins og á myndinni hér að neðan. Taktu eftir því hvernig ekkert er virkt.

fangelsisstillingar

Svo, við erum með Apache 2 HTTP netþjón, og eins og sía/banna slæma vélmenni, allt sem þú þarft að gera er að bæta við virkt = satt eins og dæmið hér að neðan.

[apache-badbots]
# Ban hosts which agent identifies spammer robots crawling the web
# for email addresses. The mail outputs are buffered.
enabled = true
port     = http,https
logpath  = %(apache_access_log)s
bantime  = 48h
maxretry = 1

Taktu eftir hvernig hámarks endurtilraun er jöfn 1 og banntíminn er 48H. Þetta er einstaklingsbundin hámarksreynsla og bannar lengdarstillingu fyrir þetta fangelsi sem mun sjálfkrafa aukast með bannsmargfaldaranum sem við settum upp fyrr í handbókinni. Ef eitthvað af síunum vantar þetta geturðu bætt því við sem dæmi.

[apache-noscript]
enabled = true
port     = http,https
logpath  = %(apache_error_log)s

Breyttu fyrir ofan eftirfarandi dæmi hér að neðan:

[apache-noscript]
enabled = true
port     = http,https
logpath  = %(apache_error_log)s
bantime = 1d
maxretry = 3

Næst, þú vilt hafa aðrar aðgerðir en tilgreindar eru í sjálfgefnu uppsetningunni þinni í /etc/fail2ban/jail.local, viðbótaraðgerðir sem þú getur fundið í action.d skránni. Auðvelt er að setja upp mismunandi aðgerðir úr þessari möppu með því að fylgja leiðbeiningum inni í þessum aðgerðastillingarlínum í skránum, muna að endurnefna þær fyrst í .jail yfir .conf og bæta síðan eftirfarandi við fangelsisuppsetninguna þína.

[apache-botsearch]
enabled = true
port     = http,https
logpath  = %(apache_error_log)s
banaction = action_mw
            cloudflare
bantime = 72h
maxretry = 1

Eins og þú sérð, bættum við action_mw við, þannig að það bannar sjálfkrafa samkvæmt sjálfgefnum aðgerðum okkar og sendir okkur tilkynningu í tölvupósti með whois, síðan eftirfarandi aðgerð, ef þú notar Cloudflare, mun það líka loka IP tölu á þjónustunni. Mundu að Cloudflare þarf að setja upp fyrir notkun. Lestu action.d skrána cloudflare.conf.

Þegar þú ert ánægður með uppsetninguna skaltu gera eftirfarandi skipun til að endurræsa fail2ban til að hlaða nýju fangelsunum þínum.

sudo systemctl restart fail2ban

Usyngja Fail2ban-viðskiptavinur

Nú þegar þú ert kominn í gang með Fail2ban þarftu að kunna nokkrar grunnskipanir til að starfa. Við gerum þetta með því að nota fail2ban-client skipunina. Þú gætir þurft að hafa sudo réttindi, allt eftir uppsetningu þinni.

Banna IP tölu:

sudo fail2ban-client set apache-botsearch banip <ip address>

Afbannaðu IP tölu:

sudo fail2ban-client set apache-botsearch unbanip <ip address>

Skipun til að koma upp hjálparvalmyndinni ef þú þarft að finna viðbótarstillingar eða fá aðstoð við tiltekna.

sudo fail2ban-client -h 

Fáðu


Vöktun á Fail2ban logs

Algeng mistök sem margir gera eru að setja upp fangelsi og ganga í burtu án þess að prófa eða fylgjast með því sem þeir eru að gera. Nauðsynlegt er að skoða annála, þar sem fail2ban-skráin er á sjálfgefna slóð sinni /var/log/fail2ban.log.

Ef þú ert með netþjón sem fær almennilega umferð, þá er frábær skipun til að horfa á í beinni til að sjá strax hvort einhver vandamál séu og fylgjast með því þegar þú vinnur á öðrum netþjónum að nota tail -f skipunina eins og hér að neðan.

sudo tail -f /var/log/fail2ban.log

Skipunin getur komið sér vel við skyndiskoðun án þess að þurfa að kafa í skógarhögg.

Athugasemdir og niðurstaða

Handbókin sem búin var til hefur sýnt þér grunnatriði þess að setja upp Fail2ban á Ubuntu 20.04 kerfinu og setja upp nokkur fangelsi með síunum sem eru tiltækar. Fail2ban er öflugt tæki. Þú getur sett það upp á marga mismunandi vegu frá því sem ég hef sýnt hér. Þetta er bara dæmi um að komast leiðar sinnar, til að byrja með. Fail2ban er virkt þróað og er traustur kostur til að dreifa á netþjóninum þínum á þessum tímum þar sem árásir eru að verða svo tíðar.

Gerast áskrifandi
Tilkynna um
0 Comments
Inline endurgjöf
Skoða allar athugasemdir
0
Vilt elska hugsanir þínar, vinsamlegast skrifaðu athugasemdir.x