Über Fail2Ban:
Fail2Ban ist eine sicherheitsbasierte Anwendung . Es wird verwendet, um Ihr SSH und FTP vor unbefugten Verbindungen zu schützen. Fail2ban scannt Protokolldateien (z. B. /var/log/apache/error_log ) und verbieten Sie IPs, die böswillige Anzeichen aufweisen – zu viele Passwortfehler, Suche nach Exploits usw.
Fail2Ban installieren:
Um Fail2Ban zu installieren, muss das EPEL-Repository aktiviert werden, da Fail2Ban nicht von CentOS verfügbar ist. Beginnen Sie also damit, das EPEL-Repository herunterzuladen:
# rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpmInstallieren Sie Fail2Ban mit dem Befehl yum:
# yum install fail2ban
Grundeinstellungen für die Fail2Ban-Konfiguration:
Die standardmäßige Fail2Ban-Konfigurationsdatei befindet sich unter etc/fail2ban/jail.conf. Die Konfigurationsarbeit sollte jedoch nicht in dieser Datei erfolgen, sondern wir sollten stattdessen eine lokale Kopie davon erstellen.
# cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.localNachdem die Datei kopiert wurde, können Sie alle Ihre Änderungen in der neuen jail.local-Datei vornehmen. Viele mögliche Dienste, die möglicherweise geschützt werden müssen, sind bereits in der Datei enthalten. Jeder befindet sich in einem eigenen Abschnitt, konfiguriert und ausgeschaltet.
Öffnen Sie die Datei jail.local im Bearbeitungsmodus :
# vim /etc/fail2ban/jail.localSie können den Standardabschnitt unten sehen.
[STANDARD]
# „ignoreip“ kann eine IP-Adresse, eine CIDR-Maske oder ein DNS-Host sein. Fail2ban wird keinen
# Host sperren, der mit einer Adresse in dieser Liste übereinstimmt. Es können mehrere Adressen
# mit Leerzeichen definiert werden.
ignoreip =127.0.0.1
# „bantime“ ist die Anzahl der Sekunden, die ein Host gesperrt ist.
bantime =3600
# Ein Host wird gesperrt, wenn er während der letzten „findtime“
# Sekunden „maxretry“ generiert hat.
findtime =600
# „maxretry“ ist die Anzahl der Fehler, bevor ein Host gesperrt wird.
maxretry =3
Schreiben Sie Ihre persönliche IP-Adresse in die ignoreip Zeile. Sie können jede Adresse mit einem Leerzeichen trennen. IP ignorieren ermöglicht es Ihnen, bestimmte IP-Adressen auf die weiße Liste zu setzen und sicherzustellen, dass sie nicht von Ihrem VPS gesperrt sind. Die Angabe Ihrer Adresse garantiert, dass Sie sich nicht versehentlich von Ihrem eigenen virtuellen privaten Server ausschließen.
Der nächste Schritt besteht darin, sich für eine Sperrzeit zu entscheiden , die Anzahl der Sekunden, die ein Host vom Server blockiert würde, wenn festgestellt wird, dass er gegen eine der Regeln verstößt. Dies ist besonders nützlich bei Bots, die nach dem Bann einfach zum nächsten Ziel übergehen. Der Standardwert ist auf 10 Minuten eingestellt – Sie können dies auf eine Stunde (oder mehr) erhöhen, wenn Sie möchten.
Maxretry ist die Anzahl falscher Anmeldeversuche, die ein Host haben kann, bevor er für die Dauer der Sperrzeit gesperrt wird.
Zeit finden bezieht sich auf die Zeit, die ein Host sich anmelden muss. Die Standardeinstellung ist 10 Minuten; Das bedeutet, dass ein Host gesperrt wird, wenn er innerhalb der angegebenen 10 Minuten mehr als die maximale Wiederholungsversuche versucht und fehlschlägt, sich anzumelden.
Konfigurieren Sie die ssh-ipables-Abschnitte in jail.local :
Nach den Grundeinstellungen in der conf-Datei finden Sie den Abschnitt für SSH [ssh-iptables] etwas weiter unten in der Konfiguration, und er ist bereits eingerichtet und aktiviert.
[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=root, [email protected]]
logpath = /var/log/secure
maxretry = 5 Schützen Sie Ihren FTP-Server mit Fail2Ban :
[proftpd-iptables]
aktiviert = false
filter = proftpd
action = iptables[name=ProFTPD, port=ftp, protocol=tcp]
sendmail-whois[name=ProFTPD, [email protected]]
logpath = /var/log/proftpd/proftpd.log
maxretry =6
Aktiviert – Wenn der Wert auf „true“ gesetzt ist, bedeutet dies, dass der Schutz aktiviert ist.
Filtern – Standardmäßig auf sshd gesetzt, bezieht sich auf die Konfigurationsdatei, die die Regeln enthält, die fail2ban verwendet, um Übereinstimmungen zu finden.
Aktion – Es beschreibt die Schritte, die fail2ban unternimmt, um eine übereinstimmende IP-Adresse zu sperren.
Sie können den Wert „dest“ und „sender“ in [ssh-iptables] als Ihre ID und fail2ban-ID ändern. Zum Beispiel:
dest [email protected] , sender [email protected]
Protokollpfad – Es bezieht sich auf den Protokollspeicherort, den fail2ban verfolgt.
Die maximale Wiederholung Zeile innerhalb des SSH-Abschnitts hat die gleiche Definition wie die Standardoption. Wenn Sie jedoch mehrere Dienste aktiviert haben und für jeden bestimmte Werte haben möchten, können Sie hier die neue maximale Wiederholungsanzahl für SSH festlegen.
Neustart der Fail2Ban-Dienste:
Nachdem Sie die Änderungen an der fail2ban-Konfigurationsdatei vorgenommen haben, stellen Sie immer sicher, dass Sie den Fail2Ban-Dienst neu starten.
# Dienst fail2ban NeustartÜberprüfen der Fail2Ban-IPtables-Regeln:
Zur Bestätigung fail2ban iptales-Regeln geben Sie den folgenden Befehl ein:
# iptables -L
Jetzt ist Fail2Ban erfolgreich auf Ihrem CentOS installiert.