База знаний по Open Source
Yandex поиск по всему сайту
Авторизация

Fail2Ban – это хороший способ защиты от взлома сервера Ubuntu/Debian.

Fail2Ban – приложение, которое предотвращает попытки нападения на сервер посредством перебора паролей и не только. Когда Fail2Ban Логотип fail2banобнаруживает многократные неудавшиеся попытки логина с одного IP-адреса, он создает временное правило брандмауэра, которое блокирует трафик с  IP-адреса злоумышленника.

Fail2ban сканирует файлы журналов (например, / var / log / apache / error_log) и блокирует IP-адреса, которые показывают вредоносные признаки – слишком много сбоев пароля, поиск эксплойтов и т. д.

Обычно логи Fail2Ban затем используются для обновления правил брандмауэра для отклонения IP-адресов в течение определенного периода времени, хотя любое другое произвольное действие (например, отправка электронного письма) также может быть настроено. Из коробки Fail2Ban поставляется с фильтрами для различных сервисов (apache, courier, ssh и т. Д.).

Fail2Ban способен снизить частоту попыток неверной аутентификации, однако он не может устранить риск, который представляет слабая аутентификация.

Настройте службы для использования только двухфакторных или общедоступных / частных механизмов проверки подлинности, если вы действительно хотите защитить службы.

Предпринятые попытки логина могут быть проверены на множестве протоколов, включая SSH, HTTP и и SMTP. По умолчанию Fail2Ban контролирует только SSH .

Далее описано, как установить и настроить Fail2Ban:

  1. Установливатся Fail2Ban из репозитория Ubuntu:
    sudo apt-get install fail2ban
  2. Дополнительно, можно переопределить конфигурацию Fail2Ban по умолчанию, создав новый jail.local файл любым редактором текста (здесь nano):
    sudo nano /etc/fail2ban/jail.local

    Дополнительные параметры конфигурационного файла Fail2Ban можно посмотреть в этой статье на официальном сайте  Fail2Ban (на английском).

  3. Необходимо присвоить переменной bantime время, в течении которого будет действовать бан.
  4. Необходимо присвоить переменной maxretry максимальной количество попыток логинов с одного  IP адреса, после которого он будет забанен.
  5. Затем нажать Control-x и y для сохранения изменений в конфигурационном файле Fail2Ban.

Fail2Ban установлен и запущен. Теперь он будет отслеживать файлы журнала для отлавливания неудавшихся попыток входа в систему. После того, как количество попыток  превысит максимальное количество попыток аутентификации, IP-адрес будет блокирован на сетевом уровне, и событие будет зарегистрировано /var/log/fail2ban.log.

Как использовать fail2ban для защиты сайтов на WordPress описано в статье “fail2ban для защиты WordPress“. Эту же статью можно считать примером использования и настройки fail2ban.

Архитектура клиент/сервер программы fail2ban

До версии 0.6 демон Fail2ban был просто приложением, работающим в фоновом режиме и отсоединенным от любого терминала. Это не позволило перенастроить демон во время работы или какой-либо тип связи с ним.

Fail2ban теперь разделен на две части:

  • сервер
  • клиент

Демон сервера контролирует файлы журнала и выполняет действия, когда хост должен быть заблокирован. Конфигурация Сервера осуществляется Клиентом, который осуществляет чтение файлов конфигурации.

Связь между Клиентом и Сервером осуществляется через сокет. Протокол определен. Это позволяет динамически реконфигурировать Сервер и взаимодействовать с ним для получения, например, статистики.

Добавить комментарий