Fail2ban — это широко известная система обнаружения вторжений для ОС Linux. Она анализирует лог-файлы для выявления автоматических атак и неудачных попыток входа. Определив IP-адрес, от которого исходит атака, Fail2ban мгновенно блокирует его, что делает эту систему незаменимой в борьбе с атаками перебора. Установка и настройка Fail2ban являются простыми процессами. Вот как установить Fail2ban на CentOS 7.
- Обновите CentOS
Запустите терминал и обновите вашу систему CentOS, выполнив следующие команды.
yum update -y
yum upgrade -y
-
Установите Fail2ban
Для установки fail2ban выполните следующую команду.
yum install epel-release
yum install -y fail2ban
- Запустите и активируйте Fail2ban
Включите и запустите fail2ban, воспользовавшись следующими командами.
systemctl start fail2ban
systemctl enable fail2ban
Статус fail2ban можно проверить с помощью этой команды:
systemctl status fail2ban
-
Настройка Fail2ban
Fail2ban использует 4 конфигурационных файла. Они читаются в следующем порядке:
/etc/fail2ban/jail.conf
/etc/fail2ban/jail.d/.conf
/etc/fail2ban/jail.local
/etc/fail2ban/jail.d/.local
Чаще всего пользователи копируют стандартный файл jail.conf в jail.local и изменяют его. Давайте сделаем это:
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Откройте файл jail.local с помощью текстового редактора:
vim /etc/fail2ban/jail.local
В этом файле вы найдете разные разделы, каждый из которых содержит подробные комментарии о своем назначении.
Рассмотрим основные параметры настройки:
-
ignoreip — используется для указания IP-адресов, которые не должны блокироваться. Для добавления одного или нескольких IP-адресов раскомментируйте строку, начинающуюся с ignoreip, и добавьте IP-адреса через запятую. Вот пример.
ignoreip = 127.0.0.1/8 ::1 23.23.23.23 192.125.1.0/24
-
bantime — время блокировки. По умолчанию — 10 минут. Чтобы установить его на 1 день, сделайте следующее:
bantime = 1d
-
findtime — время, в течение которого должно произойти указанное количество сбоев или атак. Если вы настроили fail2ban на блокировку IP после 3 неудачных попыток, то эти попытки должны произойти в течение значения findtime. Пример:
findtime = 10m
-
maxretry — максимальное количество неудачных попыток до блокировки IP. Пример:
maxretry = 5
Тестирование и снятие блокировки с IP-адреса
Попытайтесь войти на свой сервер через SSH, каждый раз вводя неверные данные. После третьей неудачной попытки входа вам будет запрещено подключение к серверу через SSH.
В Fail2ban встроен клиент, позволяющий управлять службой. Он может быть использован для снятия блокировки с IP-адреса.
Например, нам нужно заблокировать пользователя по IP который постоянно ломится на сервер.
Для блокировки IP-адреса (например, 125.124.221.121) воспользуйтесь командой:
fail2ban-client set sshd banip 125.124.221.121
Если после этой команды Вы наблюдаете такую ошибку fail2ban [7825]: ERROR NOK: ('sshd',), Sorry but the jail 'sshd' does not exist - то это говорит о том что Fail2ban не может найти конфигурацию с названием 'sshd'. "jail" в Fail2ban представляют собой наборы правил для различных сервисов, которые Fail2ban должен мониторить, такие как ssh, apache и другие.
Сначала вам необходимо проверить конфигурационный файл Fail2ban (обычно это '/etc/fail2ban/jail.conf' или '/etc/fail2ban/jail.local') и убедиться, что в нем есть секция для 'sshd'. Это должно выглядеть примерно так:
[sshd]
enabled = true
port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s
После внесения любых изменений в конфигурационный файл, службу Fail2ban следует перезапустить командой:
sudo systemctl restart fail2ban
Теперь команда для блокировки IP-адреса должна работать без ошибок.
Чтобы снять блокировку с IP-адреса (например, 125.124.221.121), выполните команду:
fail2ban-client set sshd unbanip 125.124.221.121
В заключение, Fail2ban является эффективным инструментом обнаружения вторжений, блокирующим IP-адреса, от которых исходят повторяющиеся неудачные попытки входа в систему. Он играет ключевую роль в обеспечении безопасности ваших Linux-систем, будь то CentOS 7 или Ubuntu.
С помощью данной статьи вы сможете без труда установить и настроить Fail2ban на своих серверах. Помимо установки и включения Fail2ban, вы также узнали, как настраивать параметры блокировки IP-адресов, проверять статус службы и управлять блокировкой отдельных IP-адресов.