Служба fail2ban, может смягчить проблему доступа из вне путем перебора, создав правила, которые могут автоматически изменить конфигурацию брандмауэра iptables на основе определенного количества неуспешных попыток входа в систему.
Это позволит вашему серверу отвечать на незаконные попытки доступа без вмешательства администратора.
В этом руководстве мы покажем, как установить и использовать fail2ban на сервере Ubuntu 16.04.
Сперва установим пакет:
# apt-get install fail2ban
Установка довольно тривиальна. Теперь, когда мы видим что установка прошла без ошибок, можно приступить к настройке конфигурации.
fail2ban держит свои конфигурационные файлы в каталоге /etc/fail2ban.
Есть файл с дефолтными настройками, называемый jail.conf.
Так как этот файл может быть изменен при айдейте пакетов, мы не должны редактировать этот файл, а скорее скопировать его так, чтобы мы могли внести наши изменения безопасно.
Лучшим решением будет редактирование обоих файлов таким образом, чтобы брать дефолтные настройки из начального файла и закрывать ненужные в новом скоипрованном конфиге.
Тоесть, мы создадим файл jail.local на основе имеющегося файла jail.conf с закомментированными опциями, не меняя дефолтный файл:
# awk '{ printf "# "; print; }' /etc/fail2ban/jail.conf | sudo tee /etc/fail2ban/jail.local
Как только файл скопирован, мы можем открыть оригинальный jail.conf файл, чтобы увидеть, как настроены по умолчанию опции:
# nano /etc/fail2ban/jail.conf
Параметры настройки, расположенные под секцией [DEFAULT] будет применена ко всем службам, активным для fail2ban, которые не отключены другими компанентами:
[DEFAULT]. . .ignoreip = 127.0.0.1/8. . .
Ignoreip формирует адреса источника, которые игнорирует fail2ban.
По умолчанию это прописано, чтобы не запретить любые действия на местной машине.
Мы можем добавить дополнительные адреса, чтобы проигнорировать их действия, добавив в секцию [DEFAULT] ignoreip в jail.local файл.
[DEFAULT]. . .bantime = 600. . .
Параметр bantime устанавливает отрезок времени, в течении которого доступ клиенту будет запрещен, когда ему не удалось аутентифицироватся корректно.
Измеряется параметр в секундах.
По умолчанию установлено 600 секунд или 10 минут.
[DEFAULT]. . .findtime = 600maxretry = 3. . .
Следующие два параметра, на которые мы хотим обратить внимание, являются findtime и maxretry.
Они взаимосвязаны для того, чтобы установить условия, при которых клиент, как предпологается является несанкционированным пользователем,доступ которомк должен быть запрещен.
Переменная maxretry определяет количество попыток, которые клиент должен совершить для аутентификации во времени, определенного findtime, прежде чем быть запрещенным юзером.
В настройках по умолчанию fail2ban запретит клиенту, который неудачно пытается зарегистрироваться 3 раза в 10-минутном интервале.
[DEFAULT]. . .destemail = root@localhostsendername = Fail2Banmta = sendmail. . .
Параметр destemail формирует назначение почты. sendername – то , от кого будет получено письмо. mta – способо доставки.
[DEFAULT] . . . action = $(action_)s . . .
Этот параметр формирует меры, которые принимает fail2ban, когда это хочет установить запрет на доступ.
Значение action_ . Действие по умолчанию должно просто формировать правило брандмауэра, чтобы отклонить действия от незаконного ппользователя, пока время запрета не истечет.
Если вы хотите формировать почтовые оповещения, добавьте или не комментируйте намеченное действие в jail.local файле и измените его значение от action_ до action_mw.
Если вы хотите, чтобы электронная почта включала соответствующие строки регистрации, вы можете изменить ее на action_mwl.
Удостоверьтесь, что у вас есть соответствующие почтовые настройки, если вы принимаете решение использовать почтовые оповещения.
Позже выложу продолжение с более глубокими настройками.
