Настройка fail2ban

Автор: Admin

Дата:2012-09-14

В связи с популярностью хакерства и постоянными попытками взлома каких-либо сервисов расположенных в Интернет, само собой необходима, а точнее просто обязательно производить защиту своих ресурсов от атак.

В данной статье пойдет речь о Fail2ban - это простой, но эффективный способ избавиться от взлома сервиса, например через простой подбор паролей.

В главном случае, если Вы администрируете какой-либо FTP сервер и имеете возможность в режиме онлай наблюдать за лог файлами, то заметите с какой частотой отображаются попытки под разными логинами и паролями прорываться на него.

Так вот одной из действенных способов защиты FTP ресурса на Linux, да и не только FTP, а так же: ssh, Apache, почтового сервиса, будет установка fail2ban.

Сначала давайте дадим какое нибудь описание fail2ban и так:

Fail2ban - сервис, который мониторит лог файлы других сервисов и просматривает их на предмет подбора паролей, и если такие попытки найдены, то блокирует IP адрес (по средствам Iptables) на определенное время, а так же может отсылать информацию, (полученную через whois) об атакующем, системному администратору.

Установка Fail2ban

root@gnu-ub:/home/gnu# apt-get install fail2ban
Хотите продолжить [Д/н]? y

После установки все конфигурационные файлы fail2ban будут расположены в каталоге:
root@gnu-ub:/home/gnu# ls /etc/fail2ban/
action.d  fail2ban.conf  filter.d  jail.conf

Настройка fail2ban

После установки нас будет интересовать конфигурационный файл jail.conf
root@gnu-ub:/home/gnu# vi /etc/fail2ban/jail.conf

Давайте сперва рассмотрим определенные параметры:

ignoreip - указываются IP адреса, которые не должны попадать под бан
bantime  = 600 - время на которое производится блокировка
maxretry = 3 количество попыток, неправильного набора пароля, после которого будет заблокирован.
destemail = root@localhost здесь можно указать  email адрес, которому будут доставляться сообщения.
Однако для того, чтобы сообщения отправлялись необходимо установить сервис отправки почты, например Postfix и настроить его как перенаправитель. О том как это сделать можно прочитать в --> Postfix как перенаправитель


Дальше в этом конфигурационном файле уже можно перейти к сервисам, за пример давайте возьмем ssh

[ssh]
enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 6

 -Для включения мониторинга за сервисом SSH, параметр enabled должен принять значение true, а для отключения false
- Параметр port указывает за каким портом следить (точнее - на каком порту работает сервис, ведь ssh не обязан работать только на 22 порту), в данном случае это порт 22
filter - можно сказать это регулярные выражения применяющиеся по условию и берущиеся из файла /etc/fail2ban/filter.d/sshd.conf
logpath - лог файл, за которым следит fail2ban
maxretry
- соответственно, количество попыток

Как видите, ни чего сложного в установке и настройке fail2ban нет, главное вовремя его установить, что бы в будущем не было проблем с безопасностью.

Количество просмотров: 5829

Комментарии к статье:

Автор комментария: мишаня
Дата: 2012-09-18

Спасибо за подробное объяснение. Особенно за ссылку на заметку про отправку почты. Долго думал как организовать отправку предупреждений.

Добавить комментарий

Введите сумму с картинки

© Plutonit.ru - Администрирование, настройка Linux и Windows 2009 - 2017