Fail2ban

Iš Žinynas.
Jump to navigation Jump to search

Įrankis skirtas blokuoti pasikartojančioms SSH auth atakoms. Tokioms kaip brueforce, bandant atspėti vartotojo slaptažodį naudojantis dictionary ar atsitiktinai generuotais simboliais. Šis įrankis gali ne tik aprėpti SSH atakų blokavimą skaitant autorizacijos žurnalą bet ir kitus žimių servisų žurnalus tokių kaip apache http auth, imap, smtp, pop3 ir t.t.

Diegimas[keisti]

Debian/Ubuntu[keisti]

apt-get install fail2ban

Gentoo[keisti]

emerge -av fail2ban

CentOS/Redhat[keisti]

yum install fail2ban

 ArchLinux[keisti]

pacman -S fail2ban

 FreeBSD[keisti]

pkg install fail2ban

Konfigūravimas[keisti]

Konfigūracijos failai:

  • /etc/fail2ban/fail2ban.conf - Nusistato vidiniai fail2ban nustatymai.
  • /etc/fail2ban/jail.d/ - direktorija kurioje nurodomi konfigai su failais (kokius servisus stebėti) ssh nutylimai įjungtas visada.
  • /etc/fail2ban/filter.d/ - direktorija kurioje surašomi servisų žurnalų filtrai (failuose) bei aprašomas jų parsinimas, kaip aptikti atakas.
  • /etc/fail2ban/action.d/ - direktorija kurioje surašytos prevencijos taisyklės (firewall blokavimai ir t.t.).
  • /etc/fail2ban/paths-common.conf ir paths-debian.conf - šiuose failuose nurodomi keliai iki žurnalų.
  • /etc/fail2ban/jail.conf - globalios taisyklės, tokios kaip užlaikymo laikas (bano laikas) kokiu reitingu daryti blokavimus ir kaip reaguoti i juos. Kokios firewall taisyklės ir t.t.

Nustatymų keitimas[keisti]

Pvz.: norime pakeisti max ban time (kiek trūks užblokavimas) šias taisykles rašome į lokalų failą /etc/fail2ban/jail.d/customization.local, pavyzdys apačioje:

[DEFAULT]
bantime = 3600
ignoreip = 127.0.0.1/8 10.131.21.138

Valdymas[keisti]

Statusas[keisti]

fail2ban-client status

Blokuotų ip adresų išimimas[keisti]

fail2ban-client set sshd unbanip x.x.x.x