Informazioni su Fail2Ban :
Fail2Ban è un'applicazione basata sulla sicurezza . Viene utilizzato per proteggere SSH e FTP da connessioni non autorizzate. Fail2ban esegue la scansione dei file di registro (ad es. /var/log/apache/error_log ) e vietare gli IP che mostrano segni dannosi:troppi errori di password, ricerca di exploit, ecc.
Installazione di Fail2Ban :
Per installare Fail2Ban, è necessario abilitare il repository EPEL, perché Fail2Ban non è disponibile da CentOS. Quindi inizia scaricando il repository EPEL :
# rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpmInstalla Fail2Ban usando il comando yum:
# yum install fail2ban
Impostazioni di base per la configurazione di Fail2Ban :
Il file di configurazione predefinito di Fail2Ban si trova in etc/fail2ban/jail.conf. Tuttavia, il lavoro di configurazione non dovrebbe essere eseguito in quel file e dovremmo invece eseguirne una copia locale.
# cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.localDopo che il file è stato copiato, puoi apportare tutte le modifiche all'interno del nuovo file jail.local. Molti dei possibili servizi che potrebbero richiedere protezione sono già nel file. Ciascuno si trova in una propria sezione, configurato e spento.
Apri il file jail.local in modalità di modifica:
# vim /etc/fail2ban/jail.localPuoi vedere la sezione predefinita di seguito.
[DEFAULT]
# "ignoreip" può essere un indirizzo IP, una maschera CIDR o un host DNS. Fail2ban non
# bandirà un host che corrisponde a un indirizzo in questo elenco. Diversi indirizzi possono essere
# definiti utilizzando il separatore di spazio.
ignoreip =127.0.0.1
# "bantime" è il numero di secondi in cui un host viene bannato.
bantime =3600
# Un host viene bannato se ha generato "maxretry" durante gli ultimi "findtime"
# secondi.
findtime =600
# "maxretry" è il numero di errori prima che un host venga bannato.
maxretry =3
Scrivi il tuo indirizzo IP personale nella riga ignoreip. Puoi separare ogni indirizzo con uno spazio. Ignora IP ti consente di inserire nella white list determinati indirizzi IP e di assicurarti che non siano bloccati dal tuo VPS. Includere il tuo indirizzo ti garantirà di non bannarti accidentalmente dal tuo server privato virtuale.
Il passaggio successivo consiste nel decidere un bantime , il numero di secondi durante i quali un host verrebbe bloccato dal server se viene rilevato che viola una qualsiasi delle regole. Ciò è particolarmente utile nel caso di bot, che una volta bannati, passeranno semplicemente al prossimo obiettivo. L'impostazione predefinita è di 10 minuti:puoi aumentarla a un'ora (o superiore), se lo desideri.
Riprova massima è la quantità di tentativi di accesso errati che un host potrebbe avere prima di essere bannato per la durata del periodo di ban.
Trova tempo si riferisce alla quantità di tempo che un host ha per accedere. L'impostazione predefinita è 10 minuti; questo significa che se un host tenta, e fallisce, di accedere più del numero massimo di tentativi nei 10 minuti designati, sarà bannato.
Configura le sezioni ssh-ipables in jail.local :
Dopo le impostazioni di base nel file conf, puoi trovare la sezione per SSH [ssh-iptables], un po' più in basso nella configurazione, ed è già impostato e attivato.
[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=root, [email protected]]
logpath = /var/log/secure
maxretry = 5 Proteggi il tuo server FTP utilizzando Fail2Ban :
[proftpd-iptables]
abilitato = false
filtro = proftpd
action = iptables[name=ProFTPD, port=ftp, protocol=tcp]
sendmail-whois[name=ProFTPD, [email protected]]
logpath = /var/log/proftpd/proftpd.log
maxretry =6
Abilitato – Se impostato su "true", significa che la protezione è attiva.
Filtro – Impostato per impostazione predefinita su sshd, fa riferimento al file di configurazione contenente le regole che fail2banuses per trovare corrispondenze.
Azione – Descrive i passaggi che fail2ban eseguirà per vietare un indirizzo IP corrispondente.
Puoi modificare il valore "dest" e "sender" in [ssh-iptables] come ID e fail2ban id. Ad esempio :
dest [email protected] , mittente [email protected]
Percorso registro – Si riferisce alla posizione del registro tracciata da fail2ban.
Il numero massimo di tentativi la riga all'interno della sezione SSH ha la stessa definizione dell'opzione predefinita. Tuttavia, se hai abilitato più servizi e desideri avere valori specifici per ciascuno di essi, puoi impostare qui il nuovo importo massimo di tentativi per SSH.
Riavvio dei servizi Fail2Ban :
Dopo aver apportato le modifiche al file di configurazione fail2ban, assicurati sempre di riavviare il servizio Fail2Ban.
# servizio fail2ban riavvioVerifica delle regole di Fail2Ban IPtables :
Per verificare fail2ban iptales regole, inserisci il seguente comando:
# iptables -L
Ora, Fail2Ban è stato installato correttamente sul tuo CentOS.