Регистрация Войти
Рейтинг:1
LinuxSecurityFreak avatar Server

Первоначальная настройка fail2ban — руководство

флаг ru
LinuxSecurityFreak

Из моего базового понимания iptables Я собрал приведенную ниже настройку, предназначенную для запуска ретранслятора Tor... вот он примерно через 6 часов. Обратите внимание, я не хочу обсуждать какие-либо операции с Tor, поэтому не буду указывать на них. https://tor.stackexchange.com/ Спасибо.

Была большая атака на порт 22, которую я заметил, когда проснулся, поэтому я изменил его, аутентификация по паролю уже была отключена, но человек/бот все равно пытался взломать, у меня есть открытый RSA длиной 8192 бита. закрытый ключ, так что я надеюсь, что этого будет достаточно.

# iptables -L -v --номера строк

выходы:

Цепочка INPUT (политика DROP 8242 пакета, 735К байт)
num pkts bytes target prot opt ​​in out source target         
1 0 0 DROP tcp -- любой любой в любом месте в любом месте ctstate НОВЫЕ флаги tcp:!FIN,SYN,RST,ACK/SYN /* защита: несинхронные пакеты */
2 10 452 DROP all -- любой любой везде где угодно ctstate INVALID /* защита: неправильно сформированные пакеты */
3 20 1000 ACCEPT all -- lo любой везде где угодно /* петля: обязательна */
4 3 98 ACCEPT icmp -- любое любое где угодно Ограничение эхо-запросов icmp: в среднем 2/сек пакет 5 /* ICMP: только ping */
5 16625 9388K ACCEPT all -- any any anywherewhere ctstate RELATED,ESTABLISHED /* трафик */
6 7 420 ACCEPT tcp -- любой любой в любом месте в любом месте ctstate NEW, ESTABLISHED tcp dpt:xxyyzz /* SSH: глобальный обфускированный */ <-- CENSORED
7 438 26080 ACCEPT TCP -- любой любой в любом месте в любом месте tcp dpt:9001 /* Tor: ИЛИ */
8 558 30828 ПРИНЯТЬ TCP -- любой любой в любом месте в любом месте tcp dpt:9030 /* Tor: Dir */

Цепочка FORWARD (политика DROP 0 пакетов, 0 байт)
num pkts bytes target prot opt ​​in out source target         

Цепочка OUTPUT (политика ACCEPT 16969 пакетов, 6369К байт)
num pkts bytes target prot opt ​​in out source target

Я хотел бы развернуть фейл2бан, но я им никогда не пользовался, поэтому нашел несколько гиды чтобы настроить его, но я считаю, что у нас должен быть какой-то пример на этом сайте, я нашел слишком много результатов для фейл2бан в одиночку, однако только ничего не относящегося к фейл2бан Начальная настройка

Если это по какой-либо причине не может быть сделано здесь, пожалуйста, прокомментируйте, и я удалю этот вопрос позже.

Система: Debian GNU/Linux 11 (яблочко) с openssh-сервер для ssh-сервиса.

Заранее спасибо!

PS: перенесено из https://security.stackexchange.com/

79
1 + 0
Рейтинг:1
Ajay Singh avatar Server
флаг us
Ajay Singh

Установить f2b на deb довольно просто. Я писал об этом в посте ранее (https://dev.slickalpha.blog/2019/11/installing-lemp-stack-on-debian-buster.html#sv-fail2ban).

Сначала вы устанавливаете f2b

apt установить fail2ban -y

Скопировать конфиг на локалку

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

и внесите свои изменения в локальный файл

нано /etc/fail2ban/jail.local

обновить значения по умолчанию (порт 22 предварительно включен на f2b)

[ПО УМОЛЧАНИЮ]
...
# ПРОЧИЕ ПАРАМЕТРЫ...
бантайм = 86400
найти время = 86400
максимальная попытка = 2`

Перезапустите f2b

/etc/init.d/fail2ban перезапустить

Проверить статус sshd 22

статус клиента fail2ban sshd

Помимо этого, должно быть достаточно использования ключа с парольной фразой. Вы всегда можете настроить f2b.

Обновлять:

Fail2ban в основном проверяет журналы на наличие IP-адресов, используя фильтры регулярных выражений, и блокирует соответствующие IP-адреса, используя iptables.

Список включенных джейлов (фильтры регулярных выражений для службы в f2b)

статус клиента fail2ban

Чтобы защитить пользовательский порт или службу,

Проверьте, присутствуют ли фильтры регулярных выражений для этой службы.

ЛС /etc/fail2ban/filter.d

Если они есть, скажите имя_тюрьмы.conf, просто включите их в локальном файле f2b

нано /etc/fail2ban/jail.local

Под синтаксисом

[название тюрьмы]
..параметры..

скажем, если sshd не был включен, добавьте включено = верно в тюрьму sshd

[сшд]
включено = верно
....

Чтобы проверить тюрьмы на соответствие вашим журналам и обновить регулярное выражение, если оно отсутствует

fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf

Если для службы или порта не существует джейлов, найдите эти фильтры в Интернете и добавьте эти фильтры в /etc/fail2ban/filter.d и включите его в локальном файле конфигурации.

0 + 2
Ajay Singh avatar
флаг us
Ajay Singh
Какой порт вы используете, и это специальный порт для Tor?
0
Ответить
Ajay Singh avatar
флаг us
Ajay Singh
Я обновил пост для пользовательских портов и сервисов. Вы также можете ограничить порты напрямую с помощью iptables (как указано в связанном посте) и следить за журналами используемых вами служб и добавлять запросы атак в fail2ban.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.