نحوه نصب Fail2ban در Debian 10

نحوه نصب Fail2ban در Debian 10

سعیده مهاجری

همه سرورهایی که از طریق اینترنت قابل دسترسی هستند در معرض حملات بدافزار هستند.به عنوان مثال ، اگر پلنی  دارید که از طریق شبکه عمومی قابل دسترسی است ،مهاجمان می توانند از brute-force برای دسترسی به پلن استفاده کنند. Fail2ban ابزاری است که با نظارت بر گزارش های مربوط به سرویس ها برای فعالیت های مخرب ، به محافظت از دستگاه Linux شما در برابر brute-force و سایر حملات خودکار کمک می کند. برای اسکن پرونده های گزارش از عبارات منظم استفاده می کند. تمام ورودی های مطابق با الگوها شمرده می شوند ، و هنگامی که تعداد آنها به یک آستانه از پیش تعیین شده مشخص می رسد ، Fail2ban IP بد افزار را با استفاده از فایروال سیستم برای مدت زمان خاصی ممنوع می کند. با پایان دوره ممنوعیت ، آدرس IP از لیست ممنوعیت حذف می شود. در این مقاله نحوه نصب Fail2ban در Debian 10 توضیح خواهیم داد .

نصب Fail2ban در دبیان :

بسته Fail2ban در مخازن پیش فرض دبیان ۱۰ گنجانده شده است. برای نصب آن ، دستور زیر را به عنوان root یا user با امتیاز sudo اجرا کنید:

sudo apt updatesudo apt install fail2ban

پس از تکمیل ، سرویس Fail2ban به طور خودکار شروع می شود. با بررسی دستور زیر می توانید آن را تأیید کنید:

sudo systemctl status fail2ban

خروجی به این شکل دستور زیر خواهد بود:

fail2ban.service - Fail2Ban Service
   Loaded: loaded (/lib/systemd/system/fail2ban.service; enabled; vendor preset: enabled)
   Active: active (running) since Wed 2021-03-10 18:57:32 UTC; 47s ago

در این مرحله ، Fail2Ban را روی سرور دبیان خود اجرا کرده اید.

کانفیگ Fail2ban :

نصب پیش فرض Fail2ban همراه با دو فایل کانفیگ زیر :

/etc/fail2ban/jail.conf

و

 /etc/fail2ban/jail.d/defaults-debian.conf

شما نباید این پرونده ها را اصلاح کنید زیرا ممکن است هنگام به روزرسانی بسته ، آنها را رونویسی کنید.

Fail2ban فایلهای کانفیگ را به ترتیب زیر می خواند . هر فایل local تنظیمات موجود در پرونده conf را لغو می کند:

/etc/fail2ban/jail.conf

/etc/fail2ban/jail.d/*.conf

/etc/fail2ban/jail.local

/etc/fail2ban/jail.d/*.local

ساده ترین راه برای کانفیگ Fail2ban کپی کردن jail است . local را اصلاح کنید. کاربران پیشرفته تر می توانند یک فایل کانفیگ لوکال را از ابتدا بسازند. در پرونده local نیازی نیست که همه تنظیمات مربوط به پرونده conf مربوطه را شامل شود ، فقط کسانی که می خواهید آنها را لغو

کنید.

با کپی کردن پرونده پیش فرض jail.conf ، یک فایل کانفیگ لوکال ایجاد کنید :

 

sudo cp /etc/fail2ban/jail.{conf,local}

برای شروع کانفیگ سرور Fail2ban ، فایل jail.local را با ویرایشگر متن خود باز کنید :

 

sudo nano /etc/fail2ban/jail.local

این پرونده شامل نظراتی است که هر گزینه کانفیگ را انجام می دهد. در این مثال ، تنظیمات اساسی را تغییر خواهیم داد.

آدرس های IP در لیست سفید :

آدرس های IP ، دامنه های IP یا میزبانانی که می خواهید از ممنوع کردن آنها خارج کنید ، می توانند به بخشن نادیده گرفتن اضافه شوند . در اینجا باید آدرس IP لوکال PC خود و سایر دستگاههایی را که می خواهید در لیست سفید قرار دهید را اضافه کنید .

طرح را از حالت کامنت خارج کنید و آدرس های IP خود را که با فاصله جدا شده اند را اضافه کنید :

 

ignoreip = 127.0.0.1/8 ::1 123.123.123.123 192.168.1.0/24

تنظیمات ممنوعیت :

گزینه های bantime ، findtime و maxretry زمان ممنوعیت و شرایط ممنوعیت را تعیین می کنند.

bantime مدت زمانی است که IP برای آن ممنوع است . وقتی پسوند مشخص نشود ، به طور پیش فرض به ثانیه تبدیل می شود . به طور پیش فرض ، مقدار زمان باند ۱۰ دقیقه تنظیم شده است . بیشتر کاربران ترجیح می دهند زمان ممنوعیت بیشتری تنظیم کنند. مقدار را به دلخواه

تغییر دهید :

 

bantime = 1d


برای ممنوعیت دائمی IP ، از یک عدد منفی استفاده کنید .

findtime مدت زمانی است که بین تعداد خرابی ها قبل از تنظیم ممنوعیت تنظیم شده است . به عنوان مثال ، اگر Fail2ban بخواهد IP را پس از پنج خرابی ممنوع کند ، این خرابی ها باید در مدت زمان یافتن ، اتفاق بیفتد .

 

findtime = 10m


maxretry تعداد خرابی های قبل از ممنوعیت IP است. مقدار پیش فرض روی پنج تنظیم شده است که باید برای اکثر کاربران خوب باشد .

 

maxretry = 5

اعلان های ایمیل :

Fail2ban می تواند هشدارهای ایمیل را هنگامی که IP ممنوع است ارسال کند . برای دریافت ایمیل ، شما باید یک SMTP بر روی سرور خود نصب کرده و عملکرد پیش فرض را تغییر دهید ، که فقط IP را به٪ (action_mw) s ممنوع می کند ، همانطور که در زیر نشان داده شده است :

 

action = %(action_mw)s

 

٪ (action_mw) s IP بدافزار را ممنوع کرده و یک ایمیل با گزارش whois ارسال می کند . اگر می خواهید گزارش های مربوطه را در ایمیل وارد کنید ، عملکرد را روی٪ (action_mwl) s تنظیم کنید .

همچنین می توانید آدرس های ایمیل ارسال و دریافت را تغییر دهید :

destemail = admin@linuxize.com

sender = root@linuxize.com

Fail2ban Jails :

Fail2ban از مفهوم jails استفاده می کند. jails یک سرویس را توصیف می کند و شامل فیلترها و اقدامات است. ورودی ها مطابق با الگوی جستجو شمارش می شوند ، و هنگامی که یک شرط از پیش تعریف شده برآورده می شود ، اقدامات مربوطه اجرا می شوند .

Fail2ban  تعدادی jail برای خدمات مختلف حمل می کند . همچنین می توانید تنظیمات jail خود را ایجاد کنید. به طور پیش فرض ، فقط ssh jail فعال است .

برای فعال کردن jail ، شما باید enabled = true را بعد از عنوان jail اضافه کنید. دستور زیر نحوه فعال کردن postfix jail را نشان می دهد :

[postfix]
enabled = true
port = smtp,ssmtp
filter = postfix
logpath = /var/log/mail.log

 

تنظیماتی را که در بخش قبلی بحث کردیم ، می توان در هر jail تعیین کرد. به عنوان مثال :

 

[sshd]
enabled = true
maxretry = 3
findtime = 1d
bantime = 4w
ignoreip = 127.0.0.1/8 11.22.33.44

 

فیلترها در فهرست /etc/fail2ban/filter.d قرار دارند و در فایلی با همان نام jail ذخیره شده اند. اگر تنظیمات سفارشی و تجربه استفاده از عبارات منظم را دارید ، می توانید فیلترها را دقیق تنظیم کنید .

هر بار که پرونده کانفیگ اصلاح می شود ، برای اعمال تغییرات باید سرویس Fail2ban مجدداً راه اندازی شود :

 

sudo systemctl restart fail2ban

 

fail2ban-client:

Fail2ban با یک دستور  به نام fail2ban-client ارسال می شود که می توانید برای تعامل با سرویس Fail2ban از آن استفاده کنید .

برای مشاهده همه گزینه های موجود ، دستور زیر را با گزینه -h فراخوانی کنید :

 

fail2ban-client -h

 

از این ابزار می توان برای ممنوع کردن / ممنوع کردن آدرس های IP ، تغییر تنظیمات ، راه اندازی مجدد سرویس و موارد دیگر استفاده کرد. در اینجا چند نمونه هستند :

. وضعیت فعلی سرور را دریافت کنید:

 

sudo fail2ban-client status

 

. وضعیت jail را بررسی کنید:

 

sudo fail2ban-client status sshd

 

. خاموش کردن یک IP:

 

sudo fail2ban-client set sshd unbanip 11.22.33.44

 

. ممنوع کردن IP:

 

sudo fail2ban-client set sshd banip 11.22.33.44

 

جمع بندی :

ما به شما نحوه نصب و کانفیگ Fail2ban در Debian 10 را آموزش داده ایم.

برای کسب اطلاعات بیشتر در مورد این موضوع ، به اسناد Fail2ban مراجعه کنید.

امیدواریم مطالب مورد پسند بوده باشد.

ما را در شتابان هاست همراهی کنید.

برچسب ها: دستورات لینوکس