İnternetə açıq olan hər bir Linux serveri avtomatlaşdırılmış botlar tərəfindən daim skan edilir. Bu botlar xüsusilə sınaq və səhv üsulu ilə SSH xidmətinə daxil olmağa çalışırlar. Bu tip hücum kobud güc hücumu adlanır.

Fail2Ban log fayllarından uğursuz giriş cəhdlərini izləyir. Göstərilən nömrədən daha çox səhv daxil olan IP ünvanlarını avtomatik olaraq qadağan edir. Bu yolla, təcavüzkar eyni IP üzərindən parolu təkrar cəhd edə bilməz.

1. Fail2Ban nə edir?

• SSH kobud güc hücumlarını azaldır.
• Çox sayda səhv daxil olan IP ünvanlarını qadağan edir.
• Server qeydlərini izləməklə avtomatik tədbirlər görür.
• Hücum trafikini bloklamaq üçün firewall ilə birlikdə işləyir.
• O, həmçinin oyun server panelləri, veb panelə girişlər və poçt xidmətləri üçün istifadə edilə bilər.

2. Fail2Ban quraşdırılması

Ubuntu və Debian əsaslı sistemlərdə:

apt update
apt install fail2ban -y

CentOS, AlmaLinux və ya Rocky Linux sistemlərində:

yum install epel-release -y
yum install fail2ban -y

Xidməti işə salmaq və başlanğıcda avtomatik işləməsini təmin etmək üçün:

systemctl enable fail2ban
systemctl start fail2ban
systemctl status fail2ban

3. Defolt Parametrlər Faylını kopyalayın

Fail2Ban parametrləri birbaşa jail.conf Faylda redaktə edilməməlidir. Çünki bu fayl yeniləmələrdə dəyişə bilər. əvəzinə həbsxana.yerli fayl yaradılır.

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Sonra faylı redaktə edin:

nano /etc/fail2ban/jail.local

4. SSH qorunmasının aktivləşdirilməsi

faylda [sshd] Bölməni tapın və onu aşağıdakı kimi redaktə edin:

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
findtime = 10m
bantime = 1h

Bu parametr deməkdir:

• maxretry = 5: 5 səhv daxil olduqdan sonra tədbir görülür.
• tapmaq vaxtı = 10m: Cəhdlər 10 dəqiqə ərzində hesablanır.
• bantime = 1 saat: IP ünvanı 1 saat müddətinə qadağan edilib.

5. Öz IP ünvanınızı təhlükəsiz siyahıya salmaq

Sabit IP istifadə etsəniz, öz IP ünvanınızı qadağa sistemindən xaric edə bilərsiniz.

ignoreip = 127.0.0.1/8 192.168.1.1 SUNUCUYA_BAGLANDIGINIZ_IP

burada SERVERƏ QOŞULDUĞUNUZ İP Sahəyə əsl IP ünvanınızı yazmalısınız.

6. Fail2Ban Xidmətinin yenidən işə salınması

systemctl restart fail2ban

Vəziyyəti yoxlamaq üçün:

fail2ban-client status

SSH həbsxana statusunu görmək üçün:

fail2ban-client status sshd

7. Qadağan edilmiş IP ünvanlarını görmək

fail2ban-client status sshd

çıxışda Qadağan edilmiş IP siyahısı Sahədə qadağan edilmiş IP ünvanları görünür.

8. Təsadüfən Qadağan edilmiş İP Ünvanının Açılması

Öz IP ünvanınız və ya etibarlı istifadəçinin IP ünvanı səhvən qadağan edilibsə, onu aşağıdakı əmrlə silə bilərsiniz:

fail2ban-client set sshd unbanip IP_ADRESI

Ümumi Səhvlər

• jail.conf faylının birbaşa redaktə edilməsi
• Öz IP ünvanınızı ignoreip sahəsinə əlavə etməmək
• SSH portunun dəyişdirilməsinə baxmayaraq, Fail2Ban port parametrlərini dəyişdirməmək
• Günlük fayl yolunun səhv yazılması
• Fail2Ban-ın aktiv olduğunu düşünür və xidmət statusunu yoxlayır

Tez-tez verilən suallar

Yalnız Fail2Ban kifayət qədər təhlükəsizliyi təmin edirmi?
Xeyr. Fail2Ban mühüm qorunma təbəqəsidir, lakin o, güclü parol, müasir sistem, firewall və düzgün xidmət konfiqurasiyası ilə birlikdə istifadə edilməlidir.

Fail2Ban oyun serverini qoruyurmu?
O, birbaşa oyun trafikini təhlil etmir. Bununla belə, SSH, panel, veb xidmətləri və bəzi giriş qeydləri vasitəsilə qoruma təmin edə bilər.

Mən qadağa müddətini artıra bilərəmmi?
Bəli. Bantime dəyərini 1 saat əvəzinə 24 saat, 7 gün kimi daha uzun müddətlərə təyin edə bilərsiniz.

Təhlükəsizlik Tövsiyələri

• Kök girişini söndürün.
• Güclü və unikal paroldan istifadə edin.
• Mümkünsə, SSH açarı ilə daxil olun.
• Fail2Ban qeydlərini mütəmadi olaraq yoxlayın.
• Lazımsız xidmətləri internetə açıq qoymayın.

Bu məqalə xüsusi olaraq PvPServer üçün hazırlanmışdır.