Ako nainštalovať Fail2ban na server Ubuntu 24.04
Na tejto stránke
- Predpoklady
- Inštalácia Fail2ban a UFW (nekomplikovaný firewall)
- Konfigurácia Fail2ban
- Kontrola pravidiel fail2ban pomocou fail2ban-client
- Ako zakázať a zrušiť zákaz IP adresy pomocou fail2ban-client
- Záver
Fail2ban je bezplatný a open source IPS (Intrusion Prevention Software), ktorý pomáha správcom zabezpečiť linuxové servery pred škodlivým prihlásením a útokmi hrubou silou. Fail2ban je napísaný v Pythone a je dodávaný s filtrami pre rôzne služby ako Apache2, SSH, FTP atď. Fail2ban znižuje škodlivé pokusy o prihlásenie blokovaním IP adries zdrojových útokov.
Fail2ban funguje tak, že skenuje protokolové súbory služieb (e.f /var/log/auth.log) a zakazuje IP adresy, ktoré zobrazujú škodlivé pokusy o prihlásenie, ako je príliš veľa nesprávnych hesiel, hľadanie exploitov atď. Fail2ban tiež podporuje viaceré backendy firewallu, ako napríklad iptables, ufw a firewalld. Umožňuje vám tiež nastaviť e-mailové upozornenie na každý zablokovaný pokus o prihlásenie.
V tejto príručke sa dozviete, ako nainštalovať Fail2ba na server Ubuntu 24.04. Nastavíte si väzenie Fail2ban, naučíte sa základný príkaz „fail2ban-client“ a potom sa naučíte, ako zakázať a zrušiť zákaz IP adries pomocou Fail2ban.
Predpoklady
Ak chcete začať s týmto sprievodcom, uistite sa, že máte:
- Server Ubuntu 24.04
- Používateľ bez oprávnenia root s oprávneniami správcu
Inštalácia Fail2ban a UFW (nekomplikovaný firewall)
Fail2ban je IPS (Intrusion Prevention Software), ktorý chráni servery pred útokmi hrubou silou. Štandardne je k dispozícii na väčšine linuxových repozitárov a podporuje viacero backendov brány firewall. V tejto časti si nainštalujete Fail2ban a potom nastavíte UFW (Uncomplicated Firewall), ktorý sa použije ako backend firewallu pre Fail2ban.
Najprv spustite príkaz uvedený nižšie a aktualizujte index balíkov Ubuntu.
sudo apt update
Teraz nainštalujte balíky 'fail2ban' a 'ufw' pomocou nasledujúceho príkazu 'apt'. Inštaláciu potvrďte zadaním „Y“.
sudo apt install fail2ban ufw
Po dokončení inštalácie spustite príkaz uvedený nižšie, aby ste otvorili port pre SSH a povolili UFW. Zadajte „Y“ na potvrdenie, spustenie a aktiváciu UFW.
sudo ufw allow OpenSSH
sudo ufw enable
Po povolení UFW sa zobrazí výstup „Firewall je aktívny a povolený pri štarte systému“.
Potom spustite nasledujúci príkaz na kontrolu stavu UFW. UFW uvidíte, že je „aktívny“ so zapnutým „OpenSSH“.
sudo ufw status
Nakoniec spustite príkaz 'systemctl' nižšie a spustite, povoľte a overte službu 'fail2ban'.
sudo systemctl enable --now fail2ban
sudo systemctl status fail2ban
Nižšie môžete vidieť, že 'fail2ban' je aktívny (spustený) a povolený.
Konfigurácia Fail2ban
Po nainštalovaní fail2ban ho musíte nakonfigurovať predtým, ako Fail2ban vykoná akciu (skontroluje a zablokuje). V tejto časti upravíte konfiguráciu fail2ban '/etc/fail2ban/jail.local', nastavíte globálnu konfiguráciu pre 'bantime', 'maxretry', a 'findtime', nastavte predvolenú akciu a backend UFW firewallu a potom povoľte väzenie 'sshd' na ochranu služby SSH pred útokmi hrubou silou.
Ak chcete začať, skopírujte predvolenú konfiguráciu fail2ban do '/etc/fail2ban/jail.local' s nasledujúcim:
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Otvorte súbor '/etc/fail2ban/jail.local' pomocou nasledujúceho príkazu editora 'nano'.
sudo nano /etc/fail2ban/jail.local
Pridajte svoju lokálnu sieť do možnosti „ignoreip“. Žiadna podsieť v rámci tejto možnosti nebude blokovaná funkciou fail2ban.
ignoreip = 127.0.0.1/8 ::1 192.168.1.0/24 192.168.10.20
Upravte predvolenú konfiguráciu pre 'bantime' (čas IP adresy bude zakázaný), 'findtime' (trvanie medzi počtom zlyhaní pred akciou zakázania), a 'maxretry' (počet zlyhaní adries IP, ktoré majú byť zakázané). V tomto príklade nastavíte 'bantime' na '1 hodina', 'findtime' na '10 minúts, s hodnotou 'maxretry' až '5-krát'.
bantime = 1h
findtime = 10m
maxretry = 5
Voliteľne zmeňte predvolenú „akciu“ na „%(action_mw)s“, čím zakážete adresy IP a pošlete upozornenie správcovi e-mailom. Nezabudnite tiež zmeniť možnosti „destmail“ a „odosielateľ“.
action = %(action_mw)s
destemail = [email
sender = [email
Zmeňte predvolenú hodnotu „banaction“ na „ufw“. Vďaka tomu budú IP adresy zakázané pomocou fail2ban cez UFW.
banaction = ufw
Teraz zmeňte predvolené väzenie pre 'sshd' pomocou konfigurácie nižšie. V tomto príklade bude mať väznica 'sshd' vlastné nastavenia pre 'bantime', 'maxretry' a 'findtime '.
[sshd]
enabled = true
maxretry = 3
findtime = 15m
bantime = 3h
port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s
Po dokončení uložte a ukončite súbor.
Nakoniec spustite príkaz 'systemctl' nižšie, čím reštartujete službu 'fail2ban' a použijete svoje zmeny.
sudo systemctl restart fail2ban
Kontrola pravidiel fail2ban pomocou fail2ban-client
V tomto bode je služba Fail2ban spustená a spustená s povoleným väzením 'sshd'. Teraz sa naučíte základný príkaz 'fail2ban-client' na kontrolu a správu inštalácie Fail2ban.
Aby ste sa uistili, že fail2ban beží, spustite príkaz 'fail2ban-client' nižšie.
sudo fail2ban-client ping
Ak beží fail2ban, zobrazí sa výstup 'PONG'.
Teraz skontrolujte stav väzenia 'sshd' pomocou nasledujúceho príkazu. Zobrazí sa vám zoznam zistených a zakázaných adries IP pre väzenie 'sshd'.
sudo fail2ban-client status sshd
Potom spustite príkaz „fail2ban-client get“ nižšie, aby ste skontrolovali špecifické pravidlá vášho väzenia fail2ban. V tejto sekcii skontrolujete 'bantime', 'maxretry', 'actions', 'findtime “ a „ignoreip“ z väzenia „sshd“.
sudo fail2ban-client get sshd bantime
sudo fail2ban-client get sshd maxretry
sudo fail2ban-client get sshd actions
sudo fail2ban-client get sshd findtime
sudo fail2ban-client get sshd ignoreip
Ako zakázať a zrušiť zákaz IP adresy pomocou fail2ban-client
Je dôležité vedieť, ako manuálne zakázať alebo zrušiť zákaz IP adries pomocou „fail2ban-client“. Pomocou toho môžete ľahko odstrániť svoju IP adresu zo zoznamu zakázaných. Príkaz 'fail2ban-client' budete využívať na zakázanie a odbanovanie IP adries na Fail2ban.
Ak chcete zakázať adresy IP manuálne pomocou príkazu fail2ban, spustite príkaz 'fail2ban-client' nižšie. V tomto prípade ide zakázaná IP adresa do väzenia 'sshd'.
sudo fail2ban-client set sshd banip IP-ADDRESS
Teraz spustite nasledujúci príkaz na zrušenie zákazu IP adresy z väzenia fail2ban 'sshd'.
Sudo fail2ban-client set sshd unbanip IP-ADDRESS
Nakoniec môžete skontrolovať stav väzenia 'sshd' pomocou príkazu nižšie. Uvidíte, že IP adresa bola odstránená.
sudo fail2ban-client status sshd
Záver
Gratulujem! Dokončili ste inštaláciu fail2ban na server Ubuntu 24.04. Tiež ste sa naučili základnú konfiguráciu pre konfiguráciu Fail2ban, vrátane nastavenia globálnej konfigurácie a väzenia. Nakoniec ste sa tiež naučili základné používanie príkazu „fail2ban-client“ na manuálne skontrolovanie stavu fail2ban, stavu väzenia, konfigurácií väzenia a zakázania a odbanovania IP adries.