fail2ban - Настройка
Posted: Tue Sep 17, 2013 9:38 am
Fail2Ban – инструмент позволяющий защитить сервер от брутфорса таких сервисов как SSH, FTP, Apache и т.д. ОН производит анализ логов программ и в случае превышения лимита на неудачные логины банит IP адрес злоумышленника при помощи правил iptables, при «бане» администратору высылается оповещение.
Установка:
дальше откройте файл /etc/fail2ban/jail.conf
измените параметры:
это время в секундах на сколько блокировать хулигана, меньше чем 6 часов ставить смысла нет, лучше больше, но главное не переборщить, иначе если вы ошибетесь с паролем 3 раза вас так же заблокирует. Если у вас белый ip адрес можете прописать в параметр
и вас не будет блокировать. Не рекомендуется оставлять параметр ignoreip со значением по умолчанию 127.0.0.1/8, это создаёт очевидную угрозу в многопользовательских системах — если злоумышленник получил доступ хотя–бы к одному shell–аккаунту, то он имеет возможность беспрепятственно запустить bruteforce–программу для атаки на root или других пользователей прямо с этого–же сервера.
Новая опция findtime — определяет длительность интервала в секундах, за которое событие должно повториться определённое количество раз, после чего санкции вступят в силу. Если специально не определить этот параметр, то будет установлено значение по умолчанию равное 600 (10 минут). Проблема в том, что ботнеты, участвующие в «медленном брутфорсе», умеют обманывать стандартное значение. Иначе говоря, при maxretry равным 6, атакующий может проверить 5 паролей, затем выждать 10 минут, проверить ещё 5 паролей, повторять это снова и снова, и его IP забанен не будет. В целом, это не угроза, но всё же лучше банить таких ботов.
Вы можете так же изменить количество доступных попыток неудачных попыток авторизации, за это отвечает параметр
По умолчанию, проверяет только неудачные авторизации через ssh, но вы можете посмотреть конфиг дальше и увидеть, что эта программа может защитить и от других видов атак, для начала защиты ssh будет достаточно, но если захотите включить другие защиты в их секции поставьте параметр enabled в значение true.
Запуск fail2ban:
добавляем в автозагрузку:
Если вы указали в конфигах в параметрах dest правильный email, то через некоторое время на него вы начнёте получать сообщения о заблокированных товарищах. Проверить все блокировки можно введя в консоли команду
Установка:
Code: Select all
yum install fail2ban
дальше откройте файл /etc/fail2ban/jail.conf
измените параметры:
Code: Select all
bantime = 21600
Code: Select all
ignoreip = 1.14.33.13
Новая опция findtime — определяет длительность интервала в секундах, за которое событие должно повториться определённое количество раз, после чего санкции вступят в силу. Если специально не определить этот параметр, то будет установлено значение по умолчанию равное 600 (10 минут). Проблема в том, что ботнеты, участвующие в «медленном брутфорсе», умеют обманывать стандартное значение. Иначе говоря, при maxretry равным 6, атакующий может проверить 5 паролей, затем выждать 10 минут, проверить ещё 5 паролей, повторять это снова и снова, и его IP забанен не будет. В целом, это не угроза, но всё же лучше банить таких ботов.
Вы можете так же изменить количество доступных попыток неудачных попыток авторизации, за это отвечает параметр
Code: Select all
maxretry = 3
Code: Select all
enabled = true
Запуск fail2ban:
Code: Select all
service fail2ban start
добавляем в автозагрузку:
Code: Select all
chkconfig fail2ban on
Если вы указали в конфигах в параметрах dest правильный email, то через некоторое время на него вы начнёте получать сообщения о заблокированных товарищах. Проверить все блокировки можно введя в консоли команду
Code: Select all
iptables -L