Fail2ban это сервис, который отслеживает log–файлы, и в зависимости от условий блокирует IP адреса с которых идут переборы паролей или другие несанкционированные действия. Блокировка происходит с помощью iptables. После анализа логов Fail2ban добавляет, на указанное в настройках время, цепочку REJECT.
Рассмотрим настройку контроля SSH.
Для начала нужно установить Fail2ban:
1 |
apt-get install fail2ban |
После установки Fail2ban начинает работать сразу, но только для SSH и с настройками по умолчанию.
Теперь добавим требуемые нам настройки. Вся конфигурация находится в файле /etc/fail2ban/jail.conf
Нам потребуется изменить секцию SSH:
1 2 3 4 5 6 7 8 9 |
[ssh] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 5 findtime = 3600 bantime = 86400 |
добавим в нее строки:
maxretry — максимально количество неправильных подключений за время указанное в параметре findtime;
findtime — Время в log-файле, за которое анализируеся количество некорректных подключений. Исчисляется в секундах;
bantime — время блокировки в секундах;
и перезапускаем Fail2ban:
1 |
service fail2ban restart |
Теперь после 5 неправильных вводов пароля в течении часа адрес будет блокироваться на сутки.
Узнать список включенных защит можно командой:
1 |
fail2ban-client status |
А узнать статистику по заблокированным клиентам для каждого сервиса можно с помощью команды:
1 |
fail2ban-client status имя_сервиса |
В следующей статье я расскажу о том, как настроить Fail2ban для WordPress.
Заказать Аудит Безопасности или Пентест Вашей IT-инфраструктурыБыть уверенным в своей IT-инфраструктуре — это быть уверенным в завтрашнем дне. Для того, чтобы сделать заказ:
|