Linux

Installeer en configureer Fail2ban op Debian 10

Installeer en configureer Fail2ban op Debian 10

Alle servers die vanaf internet toegankelijk zijn, lopen het risico op malware-aanvallen. Als u bijvoorbeeld een applicatie hebt die toegankelijk is vanaf het openbare netwerk, kunnen aanvallers brute-force pogingen gebruiken om toegang te krijgen tot de applicatie.

Fail2ban is een tool die je Linux-machine helpt beschermen tegen brute-force en andere geautomatiseerde aanvallen door de servicelogboeken te controleren op kwaadaardige activiteiten. Het gebruikt reguliere expressies om logbestanden te scannen. Alle vermeldingen die overeenkomen met de patronen worden geteld en wanneer hun aantal een bepaalde vooraf gedefinieerde drempel bereikt, verbiedt Fail2ban het overtredende IP-adres met behulp van de systeemfirewall voor een specifieke tijdsduur. Wanneer de banperiode afloopt, wordt het IP-adres van de banlijst verwijderd.

In dit artikel wordt uitgelegd hoe u Fail2ban installeert en configureert op Debian 10.

Fail2ban installeren op Debian #

Het Fail2ban-pakket is opgenomen in de standaard Debian 10-repository's. Om het te installeren, voer je de volgende opdracht uit als root of gebruiker met sudo-rechten:

sudo apt updatesudo apt install fail2ban

Eenmaal voltooid, start de Fail2ban-service automatisch. U kunt het verifiëren door de status van de service te controleren:

sudo systemctl status fail2ban

De uitvoer ziet er als volgt uit:

fail2ban.service - Fail2Ban-service geladen: geladen (/lib/systemd/system/fail2ban.onderhoud; ingeschakeld; vooraf ingestelde leverancier: ingeschakeld) Actief: actief (actief) sinds wo 2021-03-10 18:57:32 UTC; 47s geleden…

Dat is het. Op dit moment is Fail2Ban actief op uw Debian-server.

Fail2ban-configuratie #

De standaard Fail2ban-installatie wordt geleverd met twee configuratiebestanden, /etc/fail2ban/jail.conf en /etc/fail2ban/jail.d/defaults-debian.conf. U mag deze bestanden niet wijzigen, omdat ze kunnen worden overschreven wanneer het pakket wordt bijgewerkt.

Fail2ban leest de configuratiebestanden in de volgende volgorde:. Elk .lokaal bestand overschrijft de instellingen van de .conf het dossier:

De eenvoudigste manier om Fail2ban te configureren, is door de gevangenis.conf naar gevangenis.lokaal en wijzig de .lokaal het dossier. Meer gevorderde gebruikers kunnen een .lokaal configuratiebestand helemaal opnieuw. De .lokaal bestand hoeft niet alle instellingen van de corresponderende .conf bestand, alleen degene die u wilt overschrijven.

Maak een .lokaal configuratiebestand door de standaard . te kopiëren gevangenis.conf het dossier:

sudo cp /etc/fail2ban/jail.conf,lokaal

Om te beginnen met het configureren van de Fail2ban-server open, de gevangenis.lokaal bestand met uw teksteditor: 

sudo nano /etc/fail2ban/jail.lokaal

Het bestand bevat opmerkingen die beschrijven wat elke configuratie-optie doet. In dit voorbeeld veranderen we de basisinstellingen.

IP-adressen op de witte lijst zetten #

IP-adressen, IP-bereiken of hosts die u wilt uitsluiten van verbanning, kunnen worden toegevoegd aan de negeerip richtlijn. Hier moet u uw lokale pc-IP-adres toevoegen en alle andere machines die u op de witte lijst wilt zetten.

Verwijder commentaar bij de regel die begint met negeerip en voeg uw IP-adressen toe, gescheiden door spatie:

/etc/fail2ban/jail.lokaal
negeerip = 127.0.0.1/8 ::1 123.123.123.123 192.168.1.0/24

Instellingen verbannen #

bantime, tijd vinden, en maxretry opties stellen de bantijd en banvoorwaarden in.

bantime is de duur waarvoor het IP is verbannen. Als er geen achtervoegsel is opgegeven, wordt dit standaard ingesteld op seconden. Standaard is de bantime waarde is ingesteld op 10 minuten. De meeste gebruikers geven er de voorkeur aan een langere bantijd in te stellen. Wijzig de waarde naar wens:

/etc/fail2ban/jail.lokaal
bantime = 1d

Gebruik een negatief getal om het IP permanent te verbieden.

tijd vinden is de duur tussen het aantal mislukkingen voordat een ban wordt ingesteld. Als Fail2ban bijvoorbeeld is ingesteld om een ​​IP te blokkeren na vijf fouten (maxretry, zie hieronder), moeten die storingen optreden binnen de tijd vinden looptijd.

/etc/fail2ban/jail.lokaal
vindtijd = 10m

maxretry is het aantal fouten voordat een IP wordt verbannen. De standaardwaarde is ingesteld op vijf, wat voor de meeste gebruikers goed zou moeten zijn.

/etc/fail2ban/jail.lokaal
maxretry = 5

E-mail notificaties #

Fail2ban kan e-mailwaarschuwingen verzenden wanneer een IP is verbannen. Om e-mails te ontvangen, moet u een SMTP op uw server hebben geïnstalleerd en de standaardactie wijzigen, die alleen het IP verbiedt om %(action_mw)s, zoals hieronder weergegeven:

/etc/fail2ban/jail.lokaal
actie = %(action_mw)s

%(action_mw)s verbiedt het aanstootgevende IP en stuurt een e-mail met een whois-rapport. Als u de relevante logboeken in de e-mail wilt opnemen, stelt u de actie in op %(action_mwl)s.

U kunt ook de e-mailadressen voor verzenden en ontvangen wijzigen:

/etc/fail2ban/jail.lokaal
destemail = [email protected] afzender = [email protected]

Fail2ban-gevangenissen #

Fail2ban gebruikt het concept van jails. Een jail beschrijft een service en omvat filters en acties. Logboekitems die overeenkomen met het zoekpatroon worden geteld en wanneer aan een vooraf gedefinieerde voorwaarde wordt voldaan, worden de bijbehorende acties uitgevoerd.

Fail2ban wordt geleverd met een aantal jails voor verschillende services. U kunt ook uw eigen jailconfiguraties maken. Standaard is alleen de ssh-jail ingeschakeld.

Om een ​​jail in te schakelen, moet je toevoegen ingeschakeld = waar na de titel van de gevangenis. Het volgende voorbeeld laat zien hoe u de postfix jail inschakelt:

/etc/fail2ban/jail.lokaal
[postfix] ingeschakeld = true port = smtp,ssmtp filter = postfix logpath = /var/log/mail.log

De instellingen die we in de vorige paragraaf hebben besproken, kunnen per jail worden ingesteld. Hier is een voorbeeld:

/etc/fail2ban/jail.lokaal
[sshd] ingeschakeld = waar maxretry = 3 vindtijd = 1d bantime = 4w negeerip = 127.0.0.1/8 11.22.33.44

De filters bevinden zich in de /etc/fail2ban/filter.d directory, opgeslagen in een bestand met dezelfde naam als de jail. Als je een aangepaste instelling hebt en ervaring hebt met reguliere expressies, kun je de filters verfijnen.

Elke keer dat het configuratiebestand wordt gewijzigd, moet de Fail2ban-service opnieuw worden gestart om de wijzigingen door te voeren:

sudo systemctl herstart fail2ban

Fail2ban-client #

Fail2ban wordt geleverd met een opdrachtregelprogramma genaamd fail2ban-client die u kunt gebruiken om te communiceren met de Fail2ban-service.

Om alle beschikbare opties te bekijken, roept u de opdracht op met de -h keuze:

fail2ban-client -h

Deze tool kan worden gebruikt om IP-adressen te verbannen/unbann, instellingen te wijzigen, de service opnieuw te starten en meer. Hier zijn een paar voorbeelden:

Conclusie #

We hebben u laten zien hoe u Fail2ban installeert en configureert op Debian 10.

Ga voor meer informatie over dit onderwerp naar de Fail2ban-documentatie .

Als je vragen hebt, kun je hieronder een reactie achterlaten.

Spellen Gratis en open source game-engines voor het ontwikkelen van Linux-games
Gratis en open source game-engines voor het ontwikkelen van Linux-games
Dit artikel behandelt een lijst met gratis en open source game-engines die kunnen worden gebruikt voor het ontwikkelen van 2D- en 3D-games op Linux. E...
Spellen Shadow of the Tomb Raider voor Linux-zelfstudie
Shadow of the Tomb Raider voor Linux-zelfstudie
Shadow of the Tomb Raider is de twaalfde toevoeging aan de Tomb Raider-serie - een actie-avonturengame-franchise gemaakt door Eidos Montreal. De game ...
Spellen Hoe FPS te verhogen in Linux?
Hoe FPS te verhogen in Linux?
FPS staat voor Beelden per seconde. De taak van FPS is om de framesnelheid te meten bij het afspelen van video's of speluitvoeringen. In eenvoudige wo...