Kõiki Internetile avatud Linuxi serveriid kontrollivad pidevalt automatiseeritud robotid. Eriti proovivad need robotid SSH-teenusesse sisse logida katse-eksituse meetodil. Seda tüüpi rünnak toore jõu rünnak Seda nimetatakse.

Fail2Ban jälgib logifailidest ebaõnnestunud sisselogimiskatseid. See keelab automaatselt IP-aadressid, mis sisestavad valesti rohkem kui määratud arv. Sel viisil ei saa ründaja sama IP-aadressi kaudu parooli korduvalt proovida.

1. Mida Fail2Ban teeb?

• SSH vähendab toore jõu rünnakuid.
• See keelab IP-aadressid, mis sisestavad suure hulga valesid kirjeid.
• See võtab automaatseid toiminguid, jälgides serveri logisid.
• See töötab koos tulemüüriga rünnakuliikluse blokeerimiseks.
• Seda saab kasutada ka mänguserveri paneelide, veebipaneelide sisselogimise ja meiliteenuste jaoks.

2. Fail2Ban installimine

Ubuntu ja Debianipõhistes süsteemides:

apt update
apt install fail2ban -y

CentOS-i, AlmaLinuxi või Rocky Linuxi süsteemides:

yum install epel-release -y
yum install fail2ban -y

Teenuse käivitamiseks ja selle automaatseks käivitamiseks käivitamisel toimige järgmiselt.

systemctl enable fail2ban
systemctl start fail2ban
systemctl status fail2ban

3. Kopeeri vaikesätete fail

Fail2Bani seaded otse jail.conf Seda ei tohiks failis redigeerida. Kuna see fail võib värskendustes muutuda. selle asemel vangla.kohalik fail luuakse.

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Seejärel redigeerige faili:

nano /etc/fail2ban/jail.local

4. SSH-kaitse lubamine

failis [sshd] Otsige üles jaotis ja muutke seda järgmiselt.

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
findtime = 10m
bantime = 1h

See säte tähendab:

• maxretry = 5: Toiming võetakse kasutusele pärast 5 vale sisestamist.
• leidmise aeg = 10m: Katsed loetakse 10 minuti jooksul.
• bantime = 1h: IP-aadress on 1 tunniks keelatud.

5. Enda IP-aadressi turvaliseks muutmine

Kui kasutate fikseeritud IP-d, saate oma IP-aadressi keelusüsteemist välja jätta.

ignoreip = 127.0.0.1/8 192.168.1.1 SUNUCUYA_BAGLANDIGINIZ_IP

siin IP, MILLEGA OLED SERVERIGA ÜHENDATUD Peate väljale kirjutama oma tegeliku IP-aadressi.

6. Fail2Ban teenuse taaskäivitamine

systemctl restart fail2ban

Oleku kontrollimiseks:

fail2ban-client status

SSH vanglaoleku vaatamiseks toimige järgmiselt.

fail2ban-client status sshd

7. Keelatud IP-aadresside nägemine

fail2ban-client status sshd

väljundis Keelatud IP loend Väljale ilmuvad keelatud IP-aadressid.

8. Juhuslikult keelatud IP-aadressi avamine

Kui teie enda IP-aadress või usaldusväärse kasutaja IP-aadress on kogemata keelatud, saate selle eemaldada järgmise käsuga:

fail2ban-client set sshd unbanip IP_ADRESI

Levinud vead

• Faili jail.conf otse redigeerimine
• Ei lisa ignoreerimisväljale oma IP-aadressi
• Fail2Ban pordi sätteid ei muudeta, kuigi SSH-porti muudetakse
• Sisestasite logifaili tee valesti
• Arvates, et Fail2Ban on aktiivne ja ei kontrolli teenuse olekut

KKK

Kas Fail2Ban üksi tagab piisava turvalisuse?
Ei. Fail2Ban on oluline kaitsekiht, kuid seda tuleks kasutada koos tugeva parooli, ajakohase süsteemi, tulemüüri ja õige teenusekonfiguratsiooniga.

Kas Fail2Ban kaitseb mänguserverit?
See ei analüüsi otseselt mänguliiklust. Siiski võib see pakkuda kaitset SSH, paneeli, veebiteenuste ja mõne sisselogimislogi kaudu.

Kas ma saan keelu kestust pikendada?
Jah. Saate määrata bantime väärtuse pikemateks perioodideks, näiteks 24h, 7d 1h asemel.

Turvasoovitused

• Lülitage juurlogimine välja.
• Kasutage tugevat ja ainulaadset parooli.
• Võimalusel logige sisse SSH võtmega.
• Kontrollige regulaarselt Fail2Bani logisid.
• Ärge jätke tarbetuid teenuseid Internetile avatuks.

See artikkel on spetsiaalselt ette valmistatud PvPServeri jaoks.