Инсталирајте Фаил2бан и повежите га са ССХ -ом и Нгинк -ом

Када смо монтирали сервер са Линуксом и желимо да њиме управљамо са интернета путем ССХ даљинског управљача, може се догодити да почнемо да примамо нападе са циљем да уђемо у систем и будемо у могућности да га контролишемо у његове сврхе. Ове нападе обично изводе рачунарски програми (ботови) који дуго покушавају да приступе систему користећи грубу силу.

У претходним постовима сам говорио о томе како да конфигуришем ССХ услугу, али неки напредни ботови не улазе у услугу, али могу убити ССХ услугу на серверу онемогућавањем даљинског приступа.

Комплетан приручник за ССХ (Сецуре Схелл)

То можемо избећи коришћењем фаил2бан алат, врло је практичан и нуди велику границу сигурности. Да мало објасним како то функционише. Способан је да креира иптаблес пре сваког неуспелог покушаја пријаве више од 5 пута заредом, одбацујући било коју врсту везе након што је забрањена.

Инсталирајте Фаил2бан


Инсталација се може извршити директно из апт -а. Прво ажурирамо систем, а затим инсталирамо Фаил2бан.
 апт-гет упдате && апт-гет -и надоградња
 апт-гет инсталл фаил2бан
Ово не само да инсталира програм, већ га оставља и покренутог и са системом.

Конфигурисање Фаил2бан


Фаил2бан услуга има своја подешавања у директоријуму / етц / фаил2бан. Имате неке унапред конфигурисане опције у јаил.цонф, најбоља ствар у овом случају је да копирате датотеку и да не вршите измене директно у њој, приликом ажурирања фаил2бан ове датотеке се преписују и можете изгубити све претходно извршене промене.

У овом случају копирамо датотеку и дајемо јој име јаил.лоцал како би је могао пронаћи.

 судо цп /етц/фаил2бан/јаил.цонф /етц/фаил2бан/јаил.лоцал
Једном копирано, можемо га отворити и видети како ради.
 вим /етц/фаил2бан/јаил.лоцал
Унутар датотеке имамо неколико параметара које можемо прилагодити. Сваки параметар који се налази под ознаком [ДЕФАУЛТ] биће примењен на све услуге које Фаил2бан омогућава, као што су ССХ, НГИНКС, АПАЦХЕ, назваћемо ово глобално, а затим ћемо имати посебне одељке за сваку услугу.

Почећемо додавањем параметара у глобални одељак.

 игнореип = 127.0.0.1
Додајемо наш лоцалхост на овај начин који ће занемарити сав локални промет, можемо додати додатне адресе које их одвајају размаком.
 бантиме = 600
Бантиме је временски период током којег ће клијент бити блокиран након што је блокиран. Јединица је у секундама 600 секунди би била 10 минута је подразумевана вредност.
 време налаза = 600 макретри = 3
Затим имамо време за проналажење и максимално суђење. Они су одговорни за успостављање услова да клијент буде подразумевано забрањен, може се прочитати да ће сваки корисник са више од 3 неуспешна покушаја у мање од 10 минута бити забрањен.
 дестемаил = роот @ лоцалхост сендернаме = Фаил2Бан мта = сендмаил
Ако желимо да креирамо упозорења за забрањене кориснике, ова 3 параметра су неопходна, дефинисаћемо одредиште коме ћемо послати поруку е -поште са упозорењем, ко ће бити задужен за слање, и на крају мта да дефинишемо коју услугу е -поште ћемо користити .
 акција = $ (ацтион_) с
Овде ћемо дефинисати шта треба предузети када је потребна забрана. Вредност ацтион_ валуе је подразумевана радња која се заснива на одбијању било каквог промета клијента док не истекне време забране.

Ако желимо да пошаљемо упозорење поштом, морамо променити вредност у ацтион_мв, али ако желимо да дода и редове дневника у тело поште, користићемо ацтион_мвл. Морамо бити сигурни да су поставке поште исправне пре промене ове вредности.

Подешавања према услузи


Када глобалне конфигурације буду довршене, додаћемо параметре који ће се примењивати искључиво на

ССХ услугу, обавезно додајемо опције под ознаком [ССХ].

 омогућено = тачно
ССХ услуга је подразумевано омогућена, али можемо је по потреби изменити у овој опцији.

Сав овај одељак би могао да функционише са вредностима које ћу касније детаљно описати, али можете их изменити да бисте их прилагодили својим потребама или их све оставити подразумевано.

Још једна од конфигурација су филтри који показују да ли је пријава била исправна или не и могу се додати за друге услуге, на пример имамо сервер са нгинк -ом и део странице је заштићен лозинком, али клијент напада грубом силом , ово можемо зауставити додавањем следећег испод ознаке [нгинк-хттп-аутх].

 [нгинк-хттп-аутх] омогућен = прави филтер = нгинк-хттп-аутх порт = хттп, хттпс логпатх = /вар/лог/нгинк/еррор.лог
Сада, ако корисник има више од 3 неуспјела покушаја пријаве, то се одражава у евиденцијама и фаил2бан ће дјеловати и блокирати сав кориснички промет.

Тест окружење


Након што смо разумели основе, урадићемо мало окружење за тестирање где ћемо заштитити ССХ и Нгинк кроз Фаил2бан креирањем политике забране која ће нас обавештавати о забрањеној ИП адреси.

Прво ћемо инсталирати Нгинк ако није инсталиран

 апт-гет инсталл нгинк
инсталираћемо услугу поште за обавештења то може бити сендмаил
 апт-гет инсталл сендмаил
коначно желимо да наши иптаблес буду постојани након покретања система, или можемо да креирамо рц.0 скрипту или да инсталирамо иптаблес-персистент пакет.
 апт-гет инсталл иптаблес-персистент
Биће инсталиран.

Успостављање нашег заштитног зида


Након инсталирања горе наведеног, морамо имплементирати заштитни зид тако да може блокирати промет. У каснијим постовима ћу направити основни заштитни зид. Више ћу говорити о иптаблес -има.

Дозволићемо успостављене везе, саобраћај сервера, попут ажурирања, и саобраћај намењен ССХ и Нгинк портовима. Сав преостали саобраћај ће бити одбијен.

 судо иптаблес -А ИНПУТ -и ло -ј АЦЦЕПТ судо иптаблес -А ИНПУТ -м цоннтрацк --цтстате ЕСТАБЛИСХЕД, РЕЛАТЕД -ј АЦЦЕПТ судо иптаблес -А ИНПУТ -п тцп --дпорт 22 -ј АЦЦЕПТ судо иптаблес -А ИНПУТ -п тцп --дпорт 80 -ј ПРИХВАТИ судо иптаблес -А УЛАЗ -ј ДРОП
Промене можемо видети са:
 иптаблес -С
То би требало дати сличан резултат.
 -П ИНПУТ АЦЦЕПТ -П ФОРВАРД АЦЦЕПТ -П ОУТПУТ АЦЦЕПТ -Н фаил2бан -ссх -А ИНПУТ -п тцп -м мултипорт --дпортс 22 -ј фаил2бан -ссх -А ИНПУТ -и ло -ј АЦЦЕПТ -А ИНПУТ -м цоннтрацк --цтстате ПОВЕЗАНО, УСТАНОВЉЕНО -ј ПРИХВАТАЊЕ -А УЛАЗ -п тцп -м тцп --дпорт 22 -ј ПРИХВАТАЊЕ -А УЛАЗ -п тцп -м тцп --дпорт 80 -ј ПРИХВАТАЊЕ -А УЛАЗ -ј ДРОП -А фаил2бан -ссх -ј ПОВРАТАК

Подешавање Фаил2бан поставки


Сада морамо да конфигуришемо датотеку јаил.лоцал како нам одговара.
 ви /етц/фаил2бан/јаил.лоцал
Можемо продужити време забране за најмање 30 минута. Не заборавите да поставите вредност у секундама.
 бантиме = 1800
Морамо да конфигуришемо е -пошту која прима сва обавештења о забрани фаил2бан, хајде да потражимо вредност е -поште у датотеци и ставимо е -пошту.
 дестемаил = админ@солветиц.цом
Можемо променити пошиљаоца који ће послати упозорење које обично постављам са именом фаил2бан како бисмо могли боље да филтрирамо између свих дневника.

Након што морамо променити вредност акције, имамо 2 могућности:

  • ацтион_мв: шаље упозорење са извештајем сличним вхоис команди забрањеног клијента.
  • ацтион_мвл: послати много детаљније упозорење укључивањем дневника у тело поруке.

У овом случају користићемо другу опцију:

 акција =% (ацтион_мвл) с 
Затим ћемо отићи у одељак [ССХ] и можемо уредити максимални број покушаја пре забране, оставићемо то на 5:
 макретри = 5
Ако имамо ССХ услугу на порту који није 22, што се топло препоручује, морамо споменути његов порт.
 порт = 45024
Затим ћемо потражити ознаку [нгинк-хттп-аутх], оставићемо је такву каква јесте.
 [нгинк-хттп-аутх] енаблед = труе
Завршили смо и можемо сачувати и затворити датотеку.

Поновно покретање услуге Фаил2бан


За примену свих промена препоручујем да прекинете услугу.
 сервице фаил2бан стоп 
Онда их можемо поново покренути
 сервис фаил2бан старт
Ово ће потрајати, након отприлике 5 минута поново можемо да видимо наша правила
 иптаблес -С
 -П ИНПУТ АЦЦЕПТ -П ФОРВАРД АЦЦЕПТ -П ОУТПУТ АЦЦЕПТ -Н фаил2бан -нгинк -хттп -аутх -Н фаил2бан -ссх -А ИНПУТ -п тцп -м мултипорт --дпортс 80.443 -ј фаил2бан -нгинк -хттп -аутх -А ИНПУТ -п тцп -м мултипорт --дпортс 22 -ј фаил2бан -ссх -А ИНПУТ -и ло -ј АЦЦЕПТ -А ИНПУТ -м цоннтрацк --цтстате ПОВЕЗАНО, ЕСТАБЛИСХЕД -ј АЦЦЕПТ -А ИНПУТ -п тцп -м тцп - -дпорт 22 -ј АЦЦЕПТ -А ИНПУТ -п тцп -м тцп --дпорт 80 -ј АЦЦЕПТ -А ИНПУТ -ј ДРОП -А фаил2бан -нгинк -хттп -аутх -ј РЕТУРН -А фаил2бан -ссх -ј РЕТУРН
Видимо како је фаил2бан додао нове смернице, оне могу варирати у зависности од конфигурације коју сте дефинисали у /етц/фаил2бан/јаил.лоцал.

ЗакључциИнсталирали смо фаил2бан и конфигурисани за рад са ССХ и НГИНКС -ом у случају АПАЦХЕ -а морамо променити ознаке и директоријум дневника, али је врло сличан нгинк -у. Конфигурисали смо само основе, можете креирати филтере и много напреднија правила, препоручујем да мало прочитате њихову ман страницу, конфигурацијске датотеке су добро коментарисане, препоручујем да идете мало по мало да откријете све њене функције.

Да ли вам се допао и помогао овај водич?Можете наградити аутора притиском на ово дугме да бисте му дали позитиван поен
wave wave wave wave wave