Fail2ban это сервис, который отслеживает log–файлы, и в зависимости от условий блокирует IP адреса с которых идут переборы паролей или другие несанкционированные действия. Блокировка происходит с помощью iptables. После анализа логов Fail2ban добавляет, на указанное в настройках время, цепочку REJECT.
Рассмотрим настройку контроля SSH.
Для начала нужно установить Fail2ban:
apt-get install fail2ban
После установки Fail2ban начинает работать сразу, но только для SSH и с настройками по умолчанию.
Теперь добавим требуемые нам настройки. Вся конфигурация находится в файле /etc/fail2ban/jail.conf
Нам потребуется изменить секцию SSH:
enabled = true[ssh]
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
findtime = 3600
bantime = 86400
добавим в нее строки:
maxretry — максимально количество неправильных подключений за время указанное в параметре findtime;
findtime — Время в log-файле, за которое анализируеся количество некорректных подключений. Исчисляется в секундах;
bantime — время блокировки в секундах;
и перезапускаем Fail2ban:
service fail2ban restart
Теперь после 5 неправильных вводов пароля в течении часа адрес будет блокироваться на сутки.
Узнать список включенных защит можно командой:
fail2ban-client status
А узнать статистику по заблокированным клиентам для каждого сервиса можно с помощью команды:
fail2ban-client status имя_сервиса
В следующей статье я расскажу о том, как настроить Fail2ban для WordPress.
Заказать Аудит Безопасности или Пентест Вашей IT-инфраструктурыБыть уверенным в своей IT-инфраструктуре — это быть уверенным в завтрашнем дне. Для того, чтобы сделать заказ:
|