Úvod
Fail2ban je vynikající služba, která se primárně používá k zastavení přístupu brutálních sil do vašeho systému. Fail2ban skvěle odradí vaše primární útočníky tím, že je zablokuje, když zjistí, že k útoku může dojít. Níže uvedené kroky provedeme jako uživatel root. Pokud používáte jiného uživatele, budete muset sudo. Pro všechny úpravy konfiguračních souborů budeme používat vi; můžete však použít libovolný editor podle svého výběru. Tato instalace se provádí na cloudovém serveru Ubuntu 14.04 64bit s nainstalovanými IPTables podle našeho průvodce IPTables. Tato příručka platí také pro náš operační systém Ubuntu 12.04 a Debian.
Předpoklady
Server Ubuntu 14.04 64bit. Pokud nemáte server a chtěli byste ho, zvažte možnost SSD VPS Hosting od Alantic.Net.
Nainstalujte a použijte fail2ban v Ubuntu a Debianu
Fail2ban je součástí výchozího úložiště Ubuntu a Debianu. Chcete-li nainstalovat, spusťte:
apt-get install fail2ban
Jakmile jej nainstalujete, musíme provést pouze několik změn v konfiguraci. Při úpravách konfiguračních souborů, jako je tato, je nejlepším postupem vždy zkopírovat originál do zálohy. V tomto případě můžete originál ponechat, protože fail2ban funguje s duplicitním souborem .local, který se také jmenuje vězení. Chcete-li to provést, spusťte:
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Jakmile vytvoříte soubor .local, je čas jej upravit pomocí editoru.
vi /etc/fail2ban/jail.local
Nyní, jak uvidíte při úpravách souboru, existuje HODNĚ sekcí, se kterými si můžete „hrát“ a upravit je. Hlavní z nich, na které se zaměříme, jsou sekce ignoreip, bantime, findtime, maxretry a konkrétně [ssh].
Příklad toho, jak vypadá soubor /etc/fail2ban/jail.local
Poznámka:V Ubuntu 12.04 a Debianu vypadá konfigurační soubor mírně odlišně od výše uvedeného. Uvidíte pouze ignoreip, bantime a maxretry. Pokud jde o nás, zbytek konfigurace je stejný.
Na obrázku výše u zeleného indikátoru nahoře najdete ignoreip. Ignoreip je zásadní, protože můžete říct, že fail2ban IGNORUJE vaši IP adresu. Nastavení ignoreip na správnou IP vám zabrání, abyste se někdy zablokovali ze svého serveru pomocí fail2ban. Důrazně doporučujeme, abyste do tohoto pole přidali svou IP adresu. Chcete-li jej přidat, vše, co musíte udělat, je přidat mezeru za 127.0.0.1/8 a zadat svou IP.
Pod zeleným indikátorem najdete bantime. Jak je uvedeno, je to doba, po kterou je hostitel zabanován, když je zablokován. Bantime je počet sekund, po které chcete, aby byla tato IP adresa ve vašem systému blokována. Doporučujeme, abyste toto číslo nastavili na vysoké číslo, pokud chcete někoho zablokovat. Výchozí hodnota je 10 minut. Přidáním 0 získáte 6000 sekund nebo 100 minut (něco přes hodinu a půl). To je dobrý začátek.
V Ubuntu 14.04 je další sekcí findtime. Jak uvádí, toto je období, na které se fail2ban bude dívat z hlediska neúspěšných pokusů. Výchozí nastavení zde 10 minut (600) je přijatelné.
Pod findtime (nebo bantime v Ubuntu 12.04) najdete maxretry. Jak to zní, je to, kolikrát vám bude umožněno selhat během hledání, než bude původní IP přidána do banu pro to, co jste nastavili jako bantime. 3 je zde skvělé číslo k zachycení někoho, kdo se pokouší dostat dovnitř.
Poslední sekce, na kterou se podíváme, je pro [ssh]. Sekci můžete vidět na obrázku níže. Největší věcí, kterou je zde třeba upravit, je maxretry (každá sekce může přepsat váš výchozí maxretry na svou vlastní hodnotu) a sekce „port =“. Maxretry znamená, kolikrát se člověku nepodaří pokusit se o SSH na váš server, než bude zablokován. Čím nižší je toto číslo, tím lépe, ale také chcete být v bezpečí, abyste pro jistotu povolili nějaké opakování.
V sekci „port =“ uvidíte, že port je nastaven na „ssh“. Pokud jste nezměnili port SSH, je to v pořádku. Pokud jste nakonfigurovali vlastní port SSH, jak je popsáno v části Změna portu SSH v Ubuntu, budete chtít změnit sekci port=. Například pomocí našeho vlastního portu SSH:
port = 922
Umístění, kde můžete nastavit port ssh
Jakmile tuto konfiguraci změníte podle svých představ, musíte provedené změny uložit a soubor opustit. Jakmile budete pryč, restartujte službu fail2ban, abyste ji aktivovali.
service fail2ban restart
Pokud jste nainstalovali IPTables jako v našem průvodci odkazovaném na začátku, pak je tu ještě jeden krok, který budete muset udělat. Pomohlo by, kdybyste své IPTables zapsali do souboru IPTables rules.v4, abyste uložili změny, které implementoval fail2ban. Chcete-li to provést, spusťte příkaz:
iptables-save > /etc/iptables/rules.v4
Pokud zkontrolujete svůj soubor rules.v4, uvidíte, že nyní platí pravidlo pro fail2ban. Toto je pravidlo fail2ban zavedené při instalaci a je potřeba k zastavení každého, kdo blokuje fail2ban.
V budoucnu, až budete na server přidávat nové služby (jako FTP, e-mail atd.), nezapomeňte zkontrolovat konfiguraci fail2ban!
Zjistěte více o našich hostingových službách VPS a ceně hostingu VPS.