Fail2Ban jest aplikacją, która powinna być zainstalowana w zasadzie na każdej maszynie działającej pod kontrolą Unix / Linux / BSD, wystawioną na świat (zewnętrzne IP). Głównym zadaniem Fail2Ban jest blokada podejrzanych, zakończonych niepowodzeniem prób logowania się do usług świadczonych przez nasz serwer. Podsumowując zabezpiecza przed atakami typu brute force.
Działanie programu Fail2Ban opiera się na analizie logów i wychwytywaniu nieautoryzowanych prób logowania się do różnego rodzaju usług (np. ssh, smtp, pop3, imap…), po czym blokuje adres IP atakującego za pomocą reguł iptables lub dodając wpis do pliku /etc/hosts.deny
Aby dokonać instalacji na początek musimy zainstalować repozytorium epel:
dnf install epel-release -y
Kolejny krok to instalacja Fail2Ban
dnf install fail2ban fail2ban-firewalld -y
Uruchamiamy w systemie poleceniami:
systemctl start fail2ban
systemctl enable fail2ban
Skonfiguruj Fail2Ban
Główny plik konfiguracyjny Fail2Ban znajduje się w /etc/fail2ban/jail.conf. Dobrym pomysłem jest stworzenie kopii głównego pliku konfiguracyjnego. Możesz go utworzyć za pomocą następującego polecenia:
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Domyślnie Fail2Ban używa zapory Iptables. Aby włączyć obsługę firewalld, uruchom następujące polecenie:
mv /etc/fail2ban/jail.d/00-firewalld.conf /etc/fail2ban/jail.d/00-firewalld.local
Następnie uruchom ponownie usługę Fail2Ban, aby zastosować zmiany:
systemctl restart fail2ban
Domyślnie Fail2Ban nie jest skonfigurowany do blokowania zdalnych adresów IP. Będziesz musiał skonfigurować plik konfiguracyjny więzienia Fail2Ban dla każdej usługi, którą chcesz chronić.
Aby chronić usługę SSH, utwórz plik konfiguracyjny więzienia dla SSH za pomocą następującego polecenia:
nano /etc/fail2ban/jail.d/sshd.local
Dodaj następujące wiersze:
# Ta konfiguracja zablokuje zdalny host na 2 godziny po 3 nieudanych próbach logowania SSH. [sshd] enabled = true bantime = 2h maxretry = 3
Po zakończeniu zapisz i zamknij plik, a następnie uruchom ponownie usługę SSH, aby zastosować zmiany:
systemctl restart fail2ban
Możesz teraz zweryfikować konfigurację za pomocą następującego polecenia:
fail2ban-client status
Skonfigurowane więzienie otrzymasz w następujący sposób:
Status |- Number of jail: 1 `- Jail list: sshd
Aby sprawdzić, czy w SSH nie ma zakazanego adresu IP, uruchom następujące polecenie:
fail2ban-client status sshd
Otrzymasz listę wszystkich zbanowanych adresów IP w następującym wyniku:
Status for the jail: sshd |- Filter | |- Currently failed: 6 | |- Total failed: 15 | `- Journal matches: _SYSTEMD_UNIT=sshd.service + _COMM=sshd `- Actions |- Currently banned: 2 |- Total banned: 2 `- Banned IP list: 96.9.67.48 43.154.142.8
Jeśli chcesz ręcznie odblokować adres IP, uruchom następujące polecenie:
fail2ban-client unban remote-ip-address
remote-ip-address ZASTĘPUJEMY ADRESEM IP