Giunsa ang Pag-install sa Fail2Ban aron mapanalipdan ang SSH sa CentOS/RHEL 8

Ang Fail2ban usa ka libre, open-source ug kaylap nga gigamit nga intrusion prevention tool nga nag-scan sa mga log files alang sa mga IP address nga nagpakita og malisyosong mga senyales sama sa daghan kaayong pagkapakyas sa password, ug daghan pa, ug kini nagdili niini (nag-update sa mga lagda sa firewall aron isalikway ang mga IP address) . Sa kasagaran, gipadala kini nga adunay mga pagsala alang sa lainlaing mga serbisyo lakip ang sshd.

Sa kini nga artikulo, among ipasabut kung giunsa ang pag-install ug pag-configure sa fail2ban aron mapanalipdan ang SSH ug mapaayo ang seguridad sa SSH server batok sa mga pag-atake sa brute force sa CentOS/RHEL 8.

Pag-instalar sa Fail2ban sa CentOS/RHEL 8

Ang fail2ban nga pakete wala sa opisyal nga mga repositoryo apan kini anaa sa EPEL repository. Human sa pag-log in sa imong sistema, pag-access sa usa ka command-line interface, dayon i-enable ang EPEL repository sa imong sistema sama sa gipakita.

# dnf install epel-release
OR
# dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm

Pagkahuman, i-install ang Fail2ban nga pakete pinaagi sa pagpadagan sa mosunud nga mando.

# dnf install fail2ban

Pag-configure sa Fail2ban aron mapanalipdan ang SSH

Ang fail2ban configuration files nahimutang sa /etc/fail2ban/ directory ug ang mga filter gitipigan sa /etc/fail2ban/filter.d/ directory (ang filter file para sa sshd mao ang /etc/fail2ban/filter.d/sshd.conf) .

Ang global configuration file para sa fail2ban server mao ang /etc/fail2ban/jail.conf, bisan pa niana, dili girekomendar nga usbon kining payl direkta, kay basin kini ma-overwrit o mapauswag sa kaso sa usa ka package upgrade sa umaabot.

Isip alternatibo, girekomendar ang paghimo ug pagdugang sa imong mga configuration sa usa ka jail.local file o bulag nga .conf nga mga file ubos sa /etc/fail2ban/jail.d/ directory. Timan-i nga ang mga parameter sa pag-configure nga gibutang sa jail.local mag-override sa bisan unsa nga gipasabut sa jail.conf.

Alang sa kini nga artikulo, maghimo kami usa ka lahi nga file nga gitawag jail.local sa /etc/fail2ban/ direktoryo sama sa gipakita.

# vi /etc/fail2ban/jail.local

Sa higayon nga bukas na ang file, kopyaha ug idikit ang mosunod nga configuration niini. Ang [DEFAULT] ang seksyon adunay mga global nga kapilian ug [sshd] adunay mga parameter alang sa sshd jail.

[DEFAULT] 
ignoreip = 192.168.56.2/24
bantime  = 21600
findtime  = 300
maxretry = 3
banaction = iptables-multiport
backend = systemd

[sshd] 
enabled = true

Atong ipasabut sa daklit ang mga kapilian sa pag-configure sa ibabaw:

  • ignoreip: nagtino sa listahan sa mga IP address o hostname nga dili idili.
  • bantime: gipiho ang gidaghanon sa mga segundo nga gidili ang usa ka host (ie epektibo nga gidugayon sa pagdili).
  • maxretry: nagtino sa gidaghanon sa mga kapakyasan sa dili pa ang usa ka host ma-ban.
  • findtime: ang fail2ban mag-ban sa usa ka host kung nakamugna kini og maxretry sulod sa katapusang findtime nga mga segundo.
  • banaction: pagdili sa aksyon.
  • backend: nagtino sa backend nga gigamit sa pagkuha sa log file modification.

Busa, ang pag-configure sa ibabaw, nagpasabut nga kung ang usa ka IP napakyas 3 ka beses sa miaging 5 minuto, i-ban kini sa 6 ka oras, ug ibaliwala ang IP address 192.168.56.2.

Sunod, sugdi ug i-enable ang serbisyo sa fail2ban sa pagkakaron ug susiha kung nag-andar na ba kini gamit ang mosunod nga command systemctl.

# systemctl start fail2ban
# systemctl enable fail2ban
# systemctl status fail2ban

Napakyas ang Pag-monitor ug Gidili ang IP Address Gamit ang fail2ban-client

Human ma-configure ang fail2ban aron ma-secure ang sshd, mahimo nimong bantayan ang mga napakyas ug gidili nga mga IP address gamit ang fail2ban-client. Aron makita ang kasamtangan nga kahimtang sa fail2ban server, padagana ang mosunod nga sugo.

# fail2ban-client status

Aron mamonitor ang sshd jail, run.

# fail2ban-client status sshd

Aron ma-unban ang usa ka IP address sa fail2ban (sa tanan nga mga bilanggoan ug database), padagana ang mosunud nga mando.

# fail2ban-client unban 192.168.56.1

Para sa dugang nga impormasyon sa fail2ban, basaha ang mosunod nga mga man page.

# man jail.conf
# man fail2ban-client

Kana nagsumaryo niini nga giya! Kung naa kay pangutana o hunahuna nga gusto nimong ipaambit bahin sa kini nga hilisgutan, ayaw pagpanuko sa pagkontak kanamo pinaagi sa porma sa feedback sa ubos.