Si të mbroni SSH me fail2ban në Ubuntu 12.04
Statusi: I vjetëruar
Ky artikull mbulon një version të Ubuntu që nuk mbështetet më. Nëse aktualisht jeni duke përdorur një server që ekzekuton Ubuntu 12.04, ne rekomandojmë shumë përmirësimin ose migrimin në një version të mbështetur të Ubuntu:
- Përmirëso në Ubuntu 14.04.
- Përmirëso nga Ubuntu 14.04 në Ubuntu 16.04
- Migroni të dhënat e serverit në një version të mbështetur
Arsyeja:
Shih në vend të kësaj:
Rreth Fail2Ban
Serverët nuk ekzistojnë të izoluar dhe ata serverë privatë virtualë me vetëm konfigurimin më themelor SSH mund të jenë të cenueshëm ndaj sulmeve me forcë brutale. fail2ban ofron një mënyrë për të mbrojtur automatikisht serverët virtualë nga sjellja keqdashëse. Programi funksionon duke skanuar skedarët e regjistrave dhe duke reaguar ndaj veprimeve fyese si p.sh. përpjekjet e përsëritura të dështuara për hyrje.
Hapi i parë—Instaloni Fail2Ban
Përdorni apt-get për të instaluar Fail2Ban
sudo apt-get install fail2ban
Hapi i dytë - Kopjoni skedarin e konfigurimit
Skedari i parazgjedhur i konfigurimit fail2ban është vendndodhja në /etc/fail2ban/jail.conf. Sidoqoftë, puna e konfigurimit nuk duhet të bëhet në atë skedar, dhe ne duhet të bëjmë një kopje lokale të tij.
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Pasi të kopjohet skedari, mund të bëni të gjitha ndryshimet brenda skedarit të ri jail.local. Shumë prej shërbimeve të mundshme që mund të kenë nevojë për mbrojtje janë tashmë në dosje. Secili ndodhet në seksionin e vet, i konfiguruar dhe i fikur.
Hapi i tretë—Konfiguro Parazgjedhjet në Jail.Local
Hapni skedarin e ri të konfigurimit fail2ban:
sudo nano /etc/fail2ban/jail.local
Seksioni i parë i parazgjedhjeve mbulon rregullat bazë që do të ndjekë fail2ban. Nëse dëshironi të konfiguroni mbrojtje më të nuancuar në serverin tuaj virtual, mund t'i personalizoni detajet në çdo seksion.
Ju mund të shihni seksionin e paracaktuar më poshtë.
[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1/8
bantime = 600
maxretry = 3
# "backend" specifies the backend used to get files modification. Available
# options are "gamin", "polling" and "auto".
# yoh: For some reason Debian shipped python-gamin didn't work as expected
# This issue left ToDo, so polling is default backend for now
backend = auto
#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = root@localhost
Shkruani adresën tuaj IP personale në linjën ignoreip. Ju mund të ndani secilën adresë me një hapësirë. IgnoreIP ju lejon të listoni të bardhë disa adresa IP dhe sigurohuni që ato të mos jenë të bllokuara. Përfshirja e adresës suaj do të garantojë që ju të mos e ndaloni aksidentalisht veten nga serveri juaj.
Hapi tjetër është të vendosni për një bantime, numrin e sekondave që një host do të bllokohej nga VPS nëse zbulohet se ata shkelin ndonjë nga rregullat. Kjo është veçanërisht e dobishme në rastin e robotëve, që pasi të ndalohen, thjesht do të kalojnë te objektivi tjetër. Parazgjedhja është vendosur për 10 minuta - nëse dëshironi, mund ta rrisni këtë në një orë (ose më lart).
Maxretry është sasia e përpjekjeve të gabuara të hyrjes që mund të ketë një host përpara se të ndalohen për kohëzgjatjen e ndalimit.
Mund ta lini backend si automatik.
Destemail është emaili tek i cili dërgohen sinjalizimet. Nëse keni një server poste të konfiguruar në pikën tuaj, Fail2Ban mund t'ju dërgojë email kur ndalon një adresë IP.
Detaje shtesë—Veprimet
Seksioni Veprimet ndodhet poshtë standardeve. Fillimi duket si ky:
#
# ACTIONS
#
# Default banning action (e.g. iptables, iptables-new,
# iptables-multiport, shorewall, etc) It is used to define
# action_* variables. Can be overridden globally or per
# section within jail.local file
banaction = iptables-multiport
# email action. Since 0.8.1 upstream fail2ban uses sendmail
# MTA for the mailing. Change mta configuration parameter to mail
# if you want to revert to conventional 'mail'.
mta = sendmail
# Default protocol
protocol = tcp
[...]
Banakcioni përshkruan hapat që do të marrë fail2ban për të ndaluar një adresë IP që përputhet. Ky është një version më i shkurtër i shtesës së skedarit ku ndodhet konfigurimi nëse. Veprimi i parazgjedhur i ndalimit, \iptables-multiport\, mund të gjendet në /etc/fail2ban/action.d/iptables-multiport.conf
MTA i referohet programit të postës elektronike që fail2ban do të përdorë për të dërguar email për të tërhequr vëmendjen ndaj një IP me qëllim të keq.
Ju mund ta ndryshoni protokollin nga TCP në UDP edhe në këtë linjë, në varësi të cilit dëshironi të monitoroni fail2ban.
Hapi i katërt (Opsionale)—Konfiguro seksionin ssh-iptables në Jail.Local
Seksioni i detajeve SSH është pak më poshtë në konfigurim, dhe tashmë është konfiguruar dhe aktivizuar. Edhe pse nuk duhet t'ju kërkohet të bëni ndonjë ndryshim brenda këtij seksioni, ju mund të gjeni detajet për secilën rresht më poshtë.
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
Aktivizuar thjesht i referohet faktit që mbrojtja SSH është aktive. Mund ta çaktivizoni me fjalën \false\.
porti përcakton portin që monitoron fail2ban. Nëse e keni konfiguruar serverin tuaj virtual privat në një portë jo standarde, ndryshoni portën që të përputhet me atë që po përdorni:
eg. port=30000
filtri, i vendosur si parazgjedhje në sshd, i referohet skedarit të konfigurimit që përmban rregullat që fail2ban përdor për të gjetur përputhje. sshd i referohet /etc/fail2ban/filter.d/sshd.conf.
shtegu i regjistrit i referohet vendndodhjes së regjistrit që do të gjurmojë fail2ban.
Rreshti riprovim maksimal brenda seksionit SSH ka të njëjtin përkufizim si opsioni i paracaktuar. Megjithatë, nëse keni aktivizuar shumë shërbime dhe dëshironi të keni vlera specifike për secilën prej tyre, mund të vendosni shumën e re maksimale të riprovës për SSH këtu.
Hapi i pestë—Rinisni Fail2Ban
Pasi të keni bërë ndonjë ndryshim në konfigurimin e fail2ban, sigurohuni gjithmonë të rinisni Fail2Ban:
sudo service fail2ban restart
Ju mund të shihni rregullat që fail2ban vë në fuqi brenda tabelës IP:
sudo iptables -L