: :

ПнВтСрЧтПтСбВс

2017-11-13 17:34:37 2280 0

Настройка fail2ban для ssh на Ubuntu16.04

Всегда есть вероятность, что где-нибудь кто-нибудь выберет не столь сложный и надежный пароль, который злоумышленник сможет подобрать простым перебором. Для защиты от такого подбора пароля (такую атаку часто называют брутфорсом) есть удачное решение - fail2ban. Настроку fail2ban будем производить на сервере Ubuntu16.04, на остальных дистрибутивах настройка производится по аналогии

Установка

Пакет fail2ban присутствует в репозиториях ubuntu

sudo apt-get install fail2ban

Основная идея Fail2ban - при превышении заданного числа неудачных вводов пароля подряд (по умолчанию - 6) бан IP, с которого были попытки подбора на заданное время (по умолчанию - 600 секунд).

Настройка

Параметры можно посмотреть и поменять в файле /etc/fail2ban/jail.conf. Существующие фильтры (т.е. правила, по которым определяется неудачная попытка ввода пароля) лежат в директории /etc/fail2ban/filter.d (можно их править или на их основе делать свои фильтры), а существующие правила реагирования - в директории /etc/fail2ban/action.d. Все файлы довольно хорошо откомментированы. Ниже преведен пример конфигурации /etc/fail2ban/jail.conf.

[sshd]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
logpath  = /var/log/auth.log
maxretry = 3

Для операционных систем семейства CentOs настройки теже, только вместо встроенного файервола firewalld, необходимо будет установать iptables и в файле jail.conf заменить файл логов:

logpath  = /var/log/secure

Запускаем демона fail2ban

sudo systemctl start fail2ban

sudo systemctl enable fail2ban

Статус можно посмотреть с помощью команды

sudo fail2ban-client status sshd

Status for the jail: sshd
|- Filter
|  |- Currently failed:	0
|  |- Total failed:	18
|  `- File list:	/var/log/auth.log
`- Actions
   |- Currently banned:	0
   |- Total banned:	2
   `- Banned IP list:

В секции "Banned IP list" будут указываеться ip адреса попавшие в "бан" и можно в ручную убрать из "бана" с помощью команды

sudo fail2ban-client set sshd unbanip "IP-адрес"






Введите ответ:

+

=