Proteggere il server da possibili attacchi è un compito fondamentale di qualsiasi amministratore di sistema. Non è così facile come sembra, ma è possibile se impari come installare e configurare Fail2ban su CentOS 8. La seguente guida sarà molto utile a questo scopo.
Fail2Ban
Fail2ban è uno strumento Python che esegue la scansione di file di registro come /var/log/auth.log e vieta gli indirizzi IP che eseguono troppi tentativi di accesso non riusciti. Lo fa aggiornando le regole del firewall di sistema per rifiutare nuove connessioni da quegli indirizzi IP, per un periodo di tempo configurabile.
Per impostazione predefinita, Fail2ban è considerato pronto all'uso in quanto include alcune impostazioni che gli consentono di leggere molti file di registro e applicare regole di protezione.
Ampiamente utilizzato da molti amministratori di sistema, Fail2ban può ridurre il rischio di attacchi SSH anche se gli sviluppatori avvertono che sono necessarie altre misure di sicurezza per essere veramente protetti. Tuttavia, con Fail2ban possiamo avere un altro livello di sicurezza e rendere il server un po' più sicuro.
Un dettaglio che non può essere trascurato è che Fail2ban è opensource, quindi puoi essere sicuro che il suo codice sorgente non contenga backdoor o codice dannoso.
Installa Fail2ban su CentOS 8
Nonostante la sua popolarità, Fail2ban non è incluso nei repository ufficiali di CentOS 8. Tuttavia, questo non è un problema per installarlo.
Quindi, in un ambiente terminale, prova ad aggiornare il sistema operativo
sudo dnf update
Fail2ban è presente nel repository EPEL. Questo repository, sebbene esterno a CentOS 8, è considerato da molti un repository fondamentale a causa del gran numero di pacchetti che ha. Inoltre, è considerato abbastanza sicuro e ci aiuterà con questo processo.
Quindi, aggiungilo al sistema in esecuzione.
sudo dnf install epel-release
Una volta installato il pacchetto e aggiunto il repository al sistema, possiamo installare Fail2ban:
sudo dnf install fail2ban
Fail2ban è gestito come un servizio di sistema, quindi dobbiamo avviarlo con il comando systemctl
sudo systemctl start fail2ban
È una buona idea avviarlo con il sistema come un altro servizio.
sudo systemctl enable fail2ban
E puoi controllare lo stato del servizio per vedere se è stato avviato correttamente.
sudo systemctl status fail2ban
Ora con Fail2ban installato, possiamo configurarlo in base alle nostre esigenze.
Configurazione di Fail2ban su CentOS 8
Prima di eseguire alcune configurazioni è opportuno sapere alcune cose su come Fail2ban gestisce i suoi file di configurazione.
Per impostazione predefinita, la directory in cui risiedono i file di configurazione di Fail2ban è /etc/fail2ban/ e ci saranno due file che non dovremo modificare, /etc/fail2ban/jail.conf e /etc/fail2ban/jail.d/00-firewalld.conf .
Pertanto, il modo consigliato per effettuare le configurazioni è copiare l'intero contenuto di jail.conf in un file chiamato jail.local nella stessa directory. Questo perché .local i file sovrascriveranno .conf File. È anche possibile creare il file da zero.
Se copi il contenuto di jail.conf o ricominciare da zero puoi aggiungere le tue impostazioni.
Ad esempio, alcune configurazioni di base relative a Fail2ban possono essere:
- Bantime:tempo in secondi in cui l'IP verrà bannato.
- Numero massimo di tentativi:numero di tentativi consentiti prima di essere bannato.
- Findtime:se l'host effettua il
maxretrynella quantità di tempo espressa infindtime, quindi verrà bannato. - Banazione:azione che il sistema eseguirà quando banna l'host.
- Backend:da dove vengono presi i log fail2ban.
Anche con ignoreip valore puoi definire un indirizzo IP o un intervallo che Fail2ban ignorerà.
Protezione di SSH con Fail2ban
Uno dei servizi più importanti da proteggere è SSH. Per farlo, puoi aggiungere al file di configurazione jail.local il valore jail.local .
[ssh] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log
In questo modo puoi proteggere SSH in modo rapido e semplice.
Per applicare tutte le modifiche, riavvia il servizio Fail2ban.
sudo systemctl restart fail2ban
Conclusione
In questo post, hai imparato come configurare Fail2ban per proteggere ulteriormente il tuo server dagli attacchi contro i servizi di sistema. Puoi consultare la documentazione ufficiale di Fail2ban dove puoi trovare molte configurazioni diverse.