Phenquestions
Alle Server, auf die über das Internet zugegriffen werden kann, sind durch Malware-Angriffe gefährdet. Wenn Sie beispielsweise über eine Anwendung verfügen, auf die über das öffentliche Netzwerk zugegriffen werden kann, können Angreifer Brute-Force-Versuche verwenden, um Zugriff auf die Anwendung zu erhalten.
Fail2ban ist ein Tool, das Ihren Linux-Rechner vor Brute-Force- und anderen automatisierten Angriffen schützt, indem es die Dienstprotokolle auf bösartige Aktivitäten überwacht. Es verwendet reguläre Ausdrücke, um Protokolldateien zu scannen. Alle Einträge, die den Mustern entsprechen, werden gezählt, und wenn ihre Anzahl einen bestimmten vordefinierten Schwellenwert erreicht, sperrt Fail2ban die verletzende IP über die Systemfirewall für eine bestimmte Zeit. Nach Ablauf der Sperrfrist wird die IP-Adresse aus der Sperrliste entfernt.
Dieser Artikel erklärt, wie Sie Fail2ban unter Debian 10 installieren und konfigurieren.
Fail2ban unter Debian installieren #
Das Fail2ban-Paket ist in den Standard-Repositories von Debian 10 enthalten. Um es zu installieren, führen Sie den folgenden Befehl als Root oder Benutzer mit sudo-Berechtigungen aus:
sudo apt-Updatesudo apt install fail2ban
Nach Abschluss wird der Fail2ban-Dienst automatisch gestartet. Sie können dies überprüfen, indem Sie den Status des Dienstes überprüfen:
sudo systemctl status fail2banDie Ausgabe sieht so aus:
● fail2ban.service - Fail2Ban Dienst geladen: geladen (/lib/systemd/system/fail2ban.Bedienung; aktiviert; Herstellervoreinstellung: aktiviert) Aktiv: aktiv (läuft) seit Mi. 2021-03-10 18:57:32 UTC; Vor 47 Jahren… Das ist es. Zu diesem Zeitpunkt läuft Fail2Ban auf Ihrem Debian-Server.
Fail2ban-Konfiguration #
Die Standardinstallation von Fail2ban enthält zwei Konfigurationsdateien, /etc/fail2ban/jail.conf und /etc/fail2ban/jail.d/defaults-debian.conf. Sie sollten diese Dateien nicht ändern, da sie beim Aktualisieren des Pakets überschrieben werden können.
Fail2ban liest die Konfigurationsdateien in der folgenden Reihenfolge. Jeder .lokal Datei überschreibt die Einstellungen aus dem .conf Datei:
/etc/fail2ban/jail.conf/etc/fail2ban/jail.t/*.conf/etc/fail2ban/jail.lokal/etc/fail2ban/jail.t/*.lokal
Der einfachste Weg, Fail2ban zu konfigurieren, besteht darin, die Gefängnis.conf zu Gefängnis.lokal und ändern Sie die .lokal Datei. Fortgeschrittenere Benutzer können ein .lokal Konfigurationsdatei von Grund auf neu. Das .lokal Datei muss nicht alle Einstellungen aus dem entsprechenden .conf Datei, nur die, die Sie überschreiben möchten.
Ein ... kreieren .lokal Konfigurationsdatei durch Kopieren der Vorgabe Gefängnis.conf Datei:
sudo cp /etc/fail2ban/jail.conf,localUm mit der Konfiguration des Fail2ban-Servers zu beginnen, öffnen Sie die Gefängnis.lokal Datei mit Ihrem Texteditor:
sudo nano /etc/fail2ban/jail.lokalDie Datei enthält Kommentare, die beschreiben, was jede Konfigurationsoption tut. In diesem Beispiel ändern wir die Grundeinstellungen.
Whitelisting von IP-Adressen #
IP-Adressen, IP-Bereiche oder Hosts, die Sie vom Sperren ausschließen möchten, können dem . hinzugefügt werden ignorieren Direktive. Hier sollten Sie Ihre lokale PC-IP-Adresse und alle anderen Maschinen hinzufügen, die Sie auf die Whitelist setzen möchten.
Entkommentieren Sie die Zeile, die mit beginnt ignorieren und fügen Sie Ihre IP-Adressen durch Leerzeichen getrennt hinzu:
Ignorieren = 127.0.0.1/8 ::1 123.123.123.123 192.168.1.0/24 Sperreinstellungen #
bantime, finde Zeit, und maxretry Optionen legen die Sperrzeit und die Sperrbedingungen fest.
bantime ist die Dauer, für die die IP gesperrt ist. Wenn kein Suffix angegeben ist, wird standardmäßig Sekunden verwendet. Standardmäßig ist die bantime Wert ist auf 10 Minuten eingestellt. Die meisten Benutzer ziehen es vor, eine längere Sperrzeit festzulegen. Ändern Sie den Wert nach Ihren Wünschen:
Bantime = 1d Um die IP dauerhaft zu sperren, verwenden Sie eine negative Zahl.
finde Zeit ist die Dauer zwischen der Anzahl der Ausfälle, bevor ein Verbot verhängt wird. Wenn beispielsweise Fail2ban so eingestellt ist, dass eine IP nach fünf Fehlern (maxretry, siehe unten), müssen diese Fehler innerhalb der finde Zeit Dauer.
Findzeit = 10m maxretry ist die Anzahl der Fehler, bevor eine IP gesperrt wird. Der Standardwert ist fünf, was für die meisten Benutzer in Ordnung sein sollte.
maxretry = 5 E-Mail Benachrichtigungen #
Fail2ban kann E-Mail-Benachrichtigungen senden, wenn eine IP gesperrt wurde. Um E-Mails zu empfangen, müssen Sie auf Ihrem Server ein SMTP installiert haben und die Standardaktion ändern, die nur die IP auf sperrt %(action_mw)s, Wie nachfolgend dargestellt:
Aktion = %(action_mw)s %(action_mw)s verbietet die anstößige IP und sendet eine E-Mail mit einem Whois-Bericht. Wenn Sie die relevanten Protokolle in die E-Mail aufnehmen möchten, setzen Sie die Aktion auf %(action_mwl)s.
Sie können auch die sendenden und empfangenden E-Mail-Adressen ändern:
/etc/fail2ban/jail.lokaldestemail = [email protected] = [email protected] Fail2ban-Gefängnisse #
Fail2ban verwendet das Konzept der Gefängnisse. Ein Jail beschreibt einen Dienst und enthält Filter und Aktionen. Logeinträge, die dem Suchmuster entsprechen, werden gezählt und wenn eine vordefinierte Bedingung erfüllt ist, werden die entsprechenden Aktionen ausgeführt.
Fail2ban wird mit einer Reihe von Gefängnissen für verschiedene Dienste ausgeliefert. Sie können auch Ihre eigenen Jail-Konfigurationen erstellen. Standardmäßig ist nur die SSH-Jail aktiviert.
Um eine Jail zu aktivieren, müssen Sie hinzufügen aktiviert = wahr nach dem Gefängnistitel. Das folgende Beispiel zeigt, wie Sie die Postfix-Jail aktivieren:
[postfix] aktiviert = true port = smtp,ssmtp filter = postfix logpath = /var/log/mail.Log Die Einstellungen, die wir im vorherigen Abschnitt besprochen haben, können pro Jail festgelegt werden. Hier ist ein Beispiel:
/etc/fail2ban/jail.lokal[sshd] aktiviert = true maxretry = 3 findtime = 1d bantime = 4w ignoreip = 127.0.0.1/8 11.22.33.44 Die Filter befinden sich im /etc/fail2ban/filter.d Verzeichnis, gespeichert in einer Datei mit demselben Namen wie das Gefängnis. Wenn Sie ein benutzerdefiniertes Setup haben und Erfahrung mit regulären Ausdrücken haben, können Sie die Filter feinabstimmen.
Bei jeder Änderung der Konfigurationsdatei muss der Fail2ban-Dienst neu gestartet werden, damit die Änderungen wirksam werden:
sudo systemctl Neustart fail2banFail2ban-Client #
Fail2ban wird mit einem Befehlszeilentool namens . ausgeliefert fail2ban-client die Sie verwenden können, um mit dem Fail2ban-Dienst zu interagieren.
Um alle verfügbaren Optionen anzuzeigen, rufen Sie den Befehl mit der -ha Möglichkeit:
fail2ban-client -hMit diesem Tool können Sie IP-Adressen sperren/entsperren, Einstellungen ändern, den Dienst neu starten und mehr service. Hier ein paar Beispiele:
Rufen Sie den aktuellen Status des Servers ab:
sudo fail2ban-client-statusÜberprüfen Sie den Gefängnisstatus:
sudo fail2ban-client-status sshdSperre einer IP aufheben:
sudo fail2ban-client set sshd unbanip 11.22.33.44Eine IP sperren:
sudo fail2ban-client set sshd banip 11.22.33.44
Fazit #
Wir haben Ihnen gezeigt, wie Sie Fail2ban unter Debian 10 installieren und konfigurieren.
Weitere Informationen zu diesem Thema finden Sie in der Fail2ban-Dokumentation .
Wenn Sie Fragen haben, können Sie unten einen Kommentar hinterlassen.
