Hvernig á að setja upp Fail2ban með Firewalld á Rocky Linux 8

Fail2ban er hugbúnaðarramma til að koma í veg fyrir innbrot sem verndar tölvuþjóna fyrst og fremst gegn árásum með grimmilegum krafti, banna slæma notendamiðla, banna vefslóðaskanna og margt fleira. Fail2ban nær þessu með því að lesa aðgangs-/villuskrár á netþjóninum þínum eða vefforritum. Fail2ban er kóðað í python forritunarmálinu.

Eftirfarandi einkatími mun kenna þér hvernig á að gera það setja upp Fail2ban á Rocky Linux 8 og grunnuppsetningu og ráðleggingar.

Forsendur

  • Mælt með stýrikerfi: Rocky Linux 8.+.
  • Notendareikningur: Notendareikningur með sudo eða rót aðgang.

Uppfærðu stýrikerfi

Uppfærðu þína Rocky linux stýrikerfi til að tryggja að allir núverandi pakkar séu uppfærðir:

sudo dnf upgrade --refresh -y

Kennsluefnið mun nota sudo skipun og að því gefnu að þú sért með sudo stöðu.

Til að staðfesta sudo stöðu á reikningnum þínum:

sudo whoami

Dæmi um úttak sem sýnir sudo stöðu:

[joshua@rockylinux ~]$ sudo whoami
root

Til að setja upp núverandi eða nýjan sudo reikning skaltu fara á kennsluna okkar á Hvernig á að bæta notanda við Sudoers á Rocky Linux.

Til að nota rótarreikningur, notaðu eftirfarandi skipun með rót lykilorðinu til að skrá þig inn.

su

Fáðu


Settu upp EPEL geymslu

Fyrsta skrefið er að flytja inn geymsluna frá EPEL (Auka pakkar fyrir Enterprise Linux) eins og hér segir:

sudo dnf install epel-release

Dæmi úttak:

Hvernig á að setja upp Fail2ban með Firewalld á Rocky Linux 8

Sláðu inn "Y," ýttu síðan á „SLAÐA LYKILL“ til að halda áfram með uppsetninguna.

Það er alltaf góð hugmynd að sannreyna hvort geymslunni hafi verið bætt við; þetta er hægt að gera með dnf repolist skipun og hér að neðan:

sudo dnf repolist

Dæmi úttak:

Hvernig á að setja upp Fail2ban með Firewalld á Rocky Linux 8

Eins og þú sérð er EPEL geymslunni rétt bætt við. Handhægar vísbending, þú getur endurnotað þessa skipun til að sjá hvers kyns innflutning á geymslum í framtíðinni.

Stilla Firewalld

Sjálfgefið er að Rocky Linux 8 er með eldvegg uppsettan. Til að staðfesta þetta skaltu nota eftirfarandi skipun:

sudo dnf info firewalld

Dæmi úttak:

Hvernig á að setja upp Fail2ban með Firewalld á Rocky Linux 8

Eins og þú sérð er þetta sjálfgefið uppsett á Rocky Linux 8; einnig ætti það að vera sjálfkrafa virkt á kerfinu þínu.

Til að staðfesta þetta skaltu nota eftirfarandi systemctl skipun:

sudo systemctl status firewalld

Dæmi úttak:

Hvernig á að setja upp Fail2ban með Firewalld á Rocky Linux 8

Annað handhægt bragð með firewalld er að nota firewall-cmd –state skipunina til að staðfesta hvort það sé í gangi eða ekki:

sudo firewall-cmd --state

Dæmi úttak:

running

Ef slökkt er á eldveggnum þínum skaltu nota eftirfarandi til að ræsa hann:

sudo systemctl start firewalld

Til að virkja það aftur til að byrja á kerfisræsingu, notaðu eftirfarandi:

sudo systemctl enable firewalld

Dæmi um úttak ef vel tekst:

Created symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service → /usr/lib/systemd/system/firewalld.service.
Created symlink /etc/systemd/system/multi-user.target.wants/firewalld.service → /usr/lib/systemd/system/firewalld.service.

Ef eldveggurinn þinn hefur verið fjarlægður geturðu sett upp eldvegg aftur með eftirfarandi skipun:

sudo dnf install firewalld

Að lokum, til að staðfesta núverandi reglur áður en nýjum er bætt við af fail2ban, skráðu þær sem fyrir eru til að kynnast eldveggnum:

sudo firewall-cmd --list-all

Dæmi úttak:

Hvernig á að setja upp Fail2ban með Firewalld á Rocky Linux 8

Fáðu


Settu upp Fail2ban

Nú þegar þú ert með EPEL geymsluna uppsett er kominn tími til að setja upp fail2ban og viðbótarpakkann fail2ban-firewalld, sem mun rétt stilla Fail2ban til að vinna með eldvegg til notkunar í framtíðinni.

sudo dnf install fail2ban fail2ban-firewalld

Dæmi úttak:

Hvernig á að setja upp Fail2ban með Firewalld á Rocky Linux 8

Sláðu inn "Y," ýttu síðan á „SLAÐA LYKILL“ til að halda áfram með uppsetninguna.

Sjálfgefið er að fail2ban verður ekki virkt, svo þú verður að ræsa það handvirkt með eftirfarandi systemctl skipun:

sudo systemctl start fail2ban

Síðan til að virkja fail2ban við ræsingu kerfisins, notaðu eftirfarandi:

sudo systemctl enable fail2ban

Staðfestu stöðuna með eftirfarandi skipun:

sudo systemctl status fail2ban

Dæmi úttak:

Hvernig á að setja upp Fail2ban með Firewalld á Rocky Linux 8

Að lokum, staðfestu útgáfu og smíði fail2ban:

fail2ban-client --version

Dæmi úttak:

Fail2Ban v0.11.2

Stilla Fail2ban

Eftir að uppsetningunni er lokið þurfum við nú að gera smá uppsetningu og grunnstillingar. Fail2ban kemur með tveimur stillingarskrám sem eru staðsettar í /etc/fail2ban/jail.conf og sjálfgefna fail2ban fangelsið /etc/fail2ban/jail.d/00-firewalld.conf. Ekki breyta þessum skrám. Upprunalegu uppsetningarskrárnar eru frumritin þín og verður skipt út fyrir allar uppfærslur á Fail2ban í framtíðinni.

Nú gætirðu velt því fyrir þér hvernig við setjum Fail2ban upp eins og þú uppfærir og glatir stillingunum þínum. Einfalt, við búum til afrit sem enda á .staðar Í stað þess að .conf eins og fail2ban mun alltaf lesa .staðar skrár fyrst fyrir hleðslu .conf ef það finnur ekki einn.

Til að gera þetta skaltu nota eftirfarandi skipanir.

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Sjálfgefið, fangelsi.staður er sett upp til notkunar IPTAFLAR. Til að hafa hlutina einfalda, í stað þess að nota 00-firewalld.conf/fangelsi og búðu til reglurnar þínar frá grunni, opnaðu jail.local og farðu á línu 208 og skiptu um:

Opna jail.local:

sudo nano /etc/fail2ban/jail.local

Finndu Old kóða (IPTABLES):

anaction = iptables-multiport
banaction_allports = iptables-allports

Skipta út fyrir (FIREWALLD):

banaction = firewallcmd-rich-rules[actiontype=]
banaction_allports = firewallcmd-rich-rules[actiontype=]

Næst mun kennslan keyra yfir nokkrar stillingar sem þú getur notað eða breytt að þínum smekk. Athugaðu að flestar stillingar eru gerðar athugasemdir; kennsluefnið mun taka úr athugasemdum við viðkomandi línur eða breyta þeim sem fyrir eru í dæmistillingunum.

Mundu að þetta eru valfrjálsar stillingar og þú getur stillt hvað sem þú vilt ef þú veist meira um fail2ban og hefur sjálfstraust.

Bann tímahækkanir

Fyrsta stillingin sem þú rekst á er bann tímahækkanir. Þú ættir að virkja þetta í hvert skipti sem árásarmaðurinn kemur aftur. Það mun auka banntímann og bjarga kerfinu þínu frá því að banna sömu IP sífellt aftur ef banntíminn þinn er lítill; til dæmis, 1 klukkustund, þú myndir vilja að þetta væri lengur ef árásarmaðurinn skilar x5 sinnum.

Þú þarft líka að stilla margfaldara eða stuðli til að bannaukning rökfræði virki. Þú getur valið eitthvað af þessu; Hins vegar, í handbókinni okkar, kjósum við margfaldara, eins og fram kemur í dæminu okkar hér að neðan, þar sem þú getur stillt sérsniðna banntímahækkanir eins og þú vilt. Nánari skýring er í uppsetningunni á stærðfræðinni á bak við það.

Dæmi hér að neðan:

Hvernig á að setja upp Fail2ban með Firewalld á Rocky Linux 8

Hvítlistaðu IP-tölur í Fail2ban

Næst á listanum rekumst við á valmöguleika á hvítlista, afskrifaðu eftirfarandi og taktu hvaða IP tölur sem þú vilt vera á hvítlista.

ignoreip = 127.0.0.1/8 ::1 180.53.31.33 (example IP address)

Gakktu úr skugga um að þú hafir bil eða kommu á milli IP vistfönganna. Þú getur líka hvítlistað IP svið.

Dæmi hér að neðan:

Hvernig á að setja upp Fail2ban með Firewalld á Rocky Linux 8

Sjálfgefin uppsetning banntíma

Sjálfgefið er að banntímar séu sjálfgefnir 10 mínútur með 10 mínútna finnandi við 5 tilraunir aftur. Skýring á þessu er að Fail2ban fangelsi með síun mun banna árásarmanninn þinn í 10 mínútur eftir að hann hefur reynt sömu árásina aftur eftir 10 mínútur (finnatími) x 5 sinnum (endurtilraunir). Þú getur stillt nokkrar sjálfgefnar bannstillingar hér.

Hins vegar, þegar þú kemur í fangelsi, er ráðlagt að stilla mismunandi banntíma þar sem sum bönn ættu sjálfkrafa að vera lengri en önnur, þar með talið endurtilraunir sem ættu að vera minni eða fleiri.

Dæmi hér að neðan:

Hvernig á að setja upp Fail2ban með Firewalld á Rocky Linux 8

Tölvupóstur settur upp með Fail2ban

Þú getur stillt tölvupóstfang fyrir Fail2ban til að senda skýrslur. Sjálfgefið aðgerð = %(action_mw)s sem bannar móðgandi IP og sendir tölvupóst með whois skýrslu sem þú getur skoðað. Hins vegar, í action.d möppunni þinni, eru aðrir valkostir fyrir tölvupóst til að tilkynna ekki aðeins til sjálfs þíns heldur til að senda út tölvupóst til veitenda á svörtum lista og ISP árásarmannsins til að tilkynna.

Dæmi hér að neðan:

# Destination email address used solely for the interpolations in
# jail.{conf,local,d/*} configuration files.
destemail = admin@example.com

# Sender e-mail address used solely for some actions
sender = fail2ban@example.com
Hvernig á að setja upp Fail2ban með Firewalld á Rocky Linux 8

Athugið að sjálfgefið notar Fail2ban sendmail MTA fyrir tilkynningar í tölvupósti. Þú getur breytt þessu í póstaðgerð Með því að gera eftirfarandi:

Breyta úr:

mta = sendmail

Breyta í:

mail = sendmail

Fail2ban fangelsi

Næst komum við í fangelsi. Þú getur stillt fyrirfram skilgreind fangelsi með síum og aðgerðum sem samfélagið hefur búið til og ná yfir mörg vinsæl netþjónaforrit. Þú getur búið til sérsniðin fangelsi eða fundið utanaðkomandi á ýmsum meginatriði og vefsíður samfélagsins; hins vegar munum við setja upp sjálfgefna Fail2ban pakka fangelsin.

Sjálfgefin uppsetning fyrir öll fangelsin eins og á myndinni hér að neðan. Taktu eftir því hvernig ekkert er virkt.

Dæmi hér að neðan:

[apache-badbots]
# Ban hosts which agent identifies spammer robots crawling the web
# for email addresses. The mail outputs are buffered.
port     = http,https
logpath  = %(apache_access_log)s
bantime  = 48h
maxretry = 1

Svo, við erum með Apache 2 HTTP netþjón, og eins og sía/banna slæma vélmenni, allt sem þú þarft að gera er að bæta við virkt = satt eins og dæmið hér að neðan.

[apache-badbots]
# Ban hosts which agent identifies spammer robots crawling the web
# for email addresses. The mail outputs are buffered.
enabled = true
port     = http,https
logpath  = %(apache_access_log)s
bantime  = 48h
maxretry = 1

Taktu eftir hvernig hámarks endurtilraun er jöfn 1 og banntíminn er 48H. Þetta er einstaklingsbundin hámarksreynsla og bannar lengdarstillingu fyrir þetta fangelsi sem mun sjálfkrafa aukast með bannsmargfaldaranum sem við settum upp fyrr í handbókinni. Ef eitthvað af síunum vantar þetta geturðu bætt því við sem dæmi.

[apache-noscript]
enabled = true
port     = http,https
logpath  = %(apache_error_log)s

Breyttu fyrir ofan eftirfarandi dæmi hér að neðan:

[apache-noscript]
enabled = true
port     = http,https
logpath  = %(apache_error_log)s
bantime = 1d
maxretry = 3

Næst, þú vilt hafa aðrar aðgerðir en tilgreindar eru í sjálfgefnu uppsetningunni þinni í /etc/fail2ban/jail.local, viðbótaraðgerðir sem þú getur fundið í action.d skránni. Auðvelt er að setja upp mismunandi aðgerðir úr þessari möppu með því að fylgja leiðbeiningum inni í þessum aðgerðastillingarlínum í skránum, muna að endurnefna þær fyrst í .fangelsi á .conf, og bætir svo eftirfarandi við fangelsisuppsetninguna þína.

[apache-botsearch]
enabled = true
port     = http,https
logpath  = %(apache_error_log)s
banaction = action_mw
cloudflare
bantime = 72h
maxretry = 1

Eins og þú sérð, bættum við action_mw við, þannig að það bannar sjálfkrafa samkvæmt sjálfgefnum aðgerðum okkar og sendir okkur tilkynningu í tölvupósti með whois, síðan eftirfarandi aðgerð, ef þú notar Cloudflare, mun það líka loka IP tölu á þjónustunni. Mundu að Cloudflare þarf að setja upp fyrir notkun. Lestu action.d skrána cloudflare.conf.

Þegar þú ert ánægður með uppsetninguna skaltu gera eftirfarandi skipun til að endurræsa fail2ban til að hlaða nýju fangelsunum þínum.

sudo systemctl restart fail2ban

Fáðu


Dæmi um notkun Fail2ban-client

Nú þegar þú ert kominn í gang með Fail2ban þarftu að kunna nokkrar grunnaðgerðaskipanir. Við gerum þetta með því að nota fail2ban-client skipunina. Þú gætir þurft að hafa sudo réttindi, allt eftir uppsetningu þinni.

Banna IP tölu:

sudo fail2ban-client set apache-botsearch banip <ip address>

Afbannaðu IP tölu:

sudo fail2ban-client set apache-botsearch unbanip <ip address>

Skipun til að koma upp hjálparvalmyndinni ef þú þarft að finna viðbótarstillingar eða fá aðstoð við tiltekna.

sudo fail2ban-client -h

Athugar Firewalld og Fail2ban

Sjálfgefið ætti eldveggurinn að vera stilltur þannig að hann banna sjálfkrafa hvaða IP sem fail2ban aðgerðir banna. Til að sjá hvort þetta virkar örugglega rétt skaltu nota eftirfarandi skipun:

Hraðpróf er staðsett í fangelsinu þínu [SSHD] og staðsetning virkt = satt jafnvel þó þú sért ekki að nota þetta fangelsi þar sem það er bara próf, notaðu þá eftirfarandi ban skipun:

sudo fail2ban-client set sshd banip 192.155.1.7

Skráðu nú ríku reglur eldveggslistans sem hér segir:

firewall-cmd --list-rich-rules

Dæmi úttak:

rule family="ipv4" source address="192.155.1.7" port port="ssh" protocol="tcp" reject type="icmp-port-unreachable"

Eins og þú sérð þá virka fail2ban og firewalld rétt fyrir lifandi umhverfi.


Fáðu


Vöktun á Fail2ban logs

Mörg algeng mistök eru að setja upp fangelsi og ganga í burtu án þess að prófa eða fylgjast með því sem þeir eru að gera. Nauðsynlegt er að skoða annála, þar sem fail2ban-skráin er á sjálfgefna slóð sinni /var/log/fail2ban.log.

Ef þú ert með netþjón sem fær almennilega umferð, þá er frábær skipun til að horfa í beinni til að sjá vandamál og fylgjast með því þegar þú vinnur á öðrum netþjónum að nota hali -f skipun hér að neðan.

sudo tail -f /var/log/fail2ban.log

Skipunin getur komið sér vel við skyndiskoðun án þess að þurfa að kafa í skógarhögg.

Athugasemdir og niðurstaða

Kennslan hefur sýnt þér grunnatriði þess að setja upp Fail2ban á Rocky Linux 8 kerfinu og setja upp nokkur fangelsi með þeim síum sem til eru. Fail2ban er öflugt tæki. Þú getur sett það upp á marga mismunandi vegu frá því sem ég hef sýnt hér. Þetta er bara dæmi um að komast leiðar sinnar, til að byrja með. Fail2ban er virkt þróað og er traustur kostur til að dreifa á netþjóninum þínum á þessum tímum þar sem árásir eru að verða svo tíðar.

Gerast áskrifandi
Tilkynna um
2 Comments
Inline endurgjöf
Skoða allar athugasemdir

Da li moze da se koristi firewalld i mod_secuirty zajedno na serveru ?

2
0
Vilt elska hugsanir þínar, vinsamlegast skrifaðu athugasemdir.x