Системное администрирование Linux

2017-12-18 09:56:54 4933 1

Настройка fail2ban для защиты proftpd

Всегда есть вероятность, что где-нибудь кто-нибудь выберет не столь сложный и надежный пароль, который злоумышленник сможет подобрать простым перебором. Для защиты от такого подбора пароля (такую атаку часто называют брутфорсом) есть удачное решение - fail2ban. Установку и настройку будем проводить на операционный системе Debian 9

Установка

Пакет fail2ban присутствует в репозиториях Debian

sudo apt-get install fail2ban

Основная идея Fail2ban - при превышении заданного числа неудачных вводов пароля подряд бан IP, с которого были попытки подбора на заданное время.

Настройка

Параметры можно посмотреть и поменять в файле /etc/fail2ban/jail.conf. Существующие фильтры (т.е. правила, по которым определяется неудачная попытка ввода пароля) лежат в директории /etc/fail2ban/filter.d (можно их править или на их основе делать свои фильтры), а существующие правила реагирования - в директории /etc/fail2ban/action.d. Все файлы довольно хорошо откомментированы. /etc/fail2ban/jail.d/defaults-debian.conf

[proftpd]

enabled  = true
filter   = proftpd
action   = iptables[name=ProFTPD, port=ftp, protocol=tcp]
logpath  = /var/log/proftpd/proftpd.log
maxretry = 4

Запускаем демона fail2ban

sudo systemctl start fail2ban

sudo systemctl enable fail2ban

Статус можно посмотреть с помощью команды

sudo fail2ban-client status proftpd

После четырех неудачных попыток подключения:

Status for the jail: proftpd
|- Filter
|  |- Currently failed:	0
|  |- Total failed:	4
|  `- File list:	/var/log/proftpd/proftpd.log
`- Actions
   |- Currently banned:	1
   |- Total banned:	1
   `- Banned IP list:	172.*
	

В секции "Banned IP list" будут указываеться ip адреса попавшие в "бан" и можно в ручную убрать из "бана" с помощью команды

sudo fail2ban-client set proftpd unbanip "IP-адрес"