Phenquestions
ИПС или Интрусион Превентион Систем је технологија која се користи у мрежној сигурности за испитивање мрежног саобраћаја и спречавање различитих напада откривањем злонамерних улаза. Осим што само открива злонамерне улазе као што то ради систем за откривање упада, он такође спречава мрежу од злонамерних напада. Може спречити грубу силу, ДоС (одбијање услуге), ДДоС (дистрибуирано одбијање услуге), експлоатације, црве, вирусе и друге уобичајене нападе. ИПС се постављају одмах иза заштитног зида и могу слати аларме, испуштати злонамерне пакете и блокирати увредљиве ИП адресе. У овом упутству ћемо користити Фаил2бан, који је софтверски пакет за спречавање упада, да бисмо додали сигурносни слој против различитих напада бруталне силе.
Како функционише Фаил2бан
Фаил2бан чита датотеке дневника (нпр.г. / вар / лог / апацхе / еррор_лог) и добија увредљиве ИП адресе које покушавају превише неуспелих лозинки или траже експлоатације. У основи, Фаил2бан ажурира правила заштитног зида како би блокирао различите ИП адресе на серверу. Фаил2бан такође нуди филтере помоћу којих можемо користити за одређену услугу (нпр.г., апацхе, ссх итд.).
Инсталирање Фаил2бан
Фаил2бан не долази унапред инсталиран на Убунту, па пре него што га употребимо, морамо га инсталирати.
[заштићен е-поштом]: ~ $ судо апт-гет упдате -и[заштићен е-поштом]: ~ $ судо апт-гет инсталл фаил2бан
Након инсталирања Фаил2бан, покрените и омогућите услугу Фаил2бан помоћу командне линије.
[заштићен е-поштом]: ~ $ судо системцтл старт фаил2бан[заштићен е-поштом]: ~ $ судо системцтл енабле фаил2бан
Сада проверите статус услуге фаил2бан да бисте потврдили да ли је покренута или не.
Конфигурисање Фаил2бан за ССХ
Фаил2бан можемо конфигурисати модификовањем / етц / фаил2бан / јаил.цонф датотека. Пре него што је измените, направите резервну копију ове датотеке.
[заштићена е-поштом]: ~ $ судо цп / етц / фаил2бан / јаил.цонф / етц / фаил2бан / јаил.локално
Сада ћемо конфигурисати Фаил2бан да спречи ссхд услугу од злонамерних улаза. Отворите / етц / фаил2бан / јаил.локалну датотеку у вашем омиљеном уређивачу.
[заштићена е-поштом]: ~ $ судо нано / етц / фаил2бан / јаил.локалноИдите на [Уобичајено] и унесите параметре конфигурације под [Уобичајено] одељак.
[УОБИЧАЈЕНО]игнореип = 127.0.0.1/8 192.168.18.10/32
бантиме = 300
макретри = 2
финдтиме = 600
игнореип је листа цидр маске, ип адресе или ДНС хоста одвојена размаком. Додајте своје поуздане ИП адресе на ову листу и оне ће бити на белој листи и неће бити блокиране од стране фаил2бан чак и ако изврше грубу силу на серверу.
бантиме је време када ће ИП бити блокиран након што је извршена одређена количина неуспелих покушаја на серверу.
макретри је број максималних неуспелих покушаја након којих је ИП2 блокиран од стране фаил2бан на одређено време.
финдтиме је време током којег домаћин направи макретри неуспели покушаји, биће блокиран.
Након конфигурисања горњих параметара, сада ћемо конфигурисати услугу на коју ће се примењивати горња правила. Подразумевано, Фаил2бан има унапред дефинисане филтере за различите услуге, тако да не морамо да уносимо никакве посебне уносе за услуге. Омогућујемо или онемогућавамо само различите услуге у конфигурационој датотеци. Отворите / етц / фаил2бан / јаил.локалну датотеку у вашем омиљеном уређивачу.
[заштићена е-поштом]: ~ $ судо нано / етц / фаил2бан / јаил.локалноПронађите [ссхд] у датотеку и унесите следеће параметре у одељак.
[ссхд]енабле = труе
порт = ссх
филтер = ссхд
логпатх = / вар / лог / аутх.Пријава
макретри = 3
омогућено дефинише да ли је ова услуга заштићена фаил2бан или не. Ако је омогућено тачно, услуга је заштићена; у супротном, није заштићен.
Лука дефинише сервисни порт.
филтер односи се на конфигурациону датотеку коју ће користити фаил2бан. По дефаулту ће користити / етц / фаил2бан / филтер.д / ссхд.цонф датотека за ссх услугу.
пут пута дефинише пут до дневника, фаил2бан ће надгледати како би заштитио услугу од различитих напада. За услугу ссх, евиденције за потврду идентитета могу се наћи на / вар / лог / аутх.лог, тако да ће фаил2бан надгледати ову датотеку евиденције и ажурирати заштитни зид откривањем неуспелих покушаја пријаве.
макретри дефинише број неуспелих покушаја пријаве пре него што их је фаил2бан блокирао.
Након примене горње конфигурације за фаил2бан, поново покрените услугу да бисте сачували промене.
[заштићен е-поштом]: ~ $ судо системцтл рестарт фаил2бан.услуга[заштићена е-поштом]: ~ $ судо системцтл статус фаил2бан.услуга
Тестирање Фаил2бан
Конфигурисали смо фаил2бан да заштити наш систем од напада грубом силом на ссх услугу. Сада ћемо покушати неуспешне покушаје пријаве на наш систем из другог система да бисмо проверили да ли фаил2бан ради или не. Након што сада направимо неколико неуспелих покушаја пријаве, проверићемо евиденције фаил2бан.
[заштићен е-поштом]: ~ $ цат / вар / лог / фаил2бан.Пријава
Видимо да је након неуспелих покушаја пријављивања ИП блокиран од стране фаил2бан.
Списком свих услуга за које је омогућен фаил2бан можемо доћи помоћу следеће наредбе.
[заштићен е-поштом]: ~ $ судо фаил2бан-цлиент статус
Горња слика показује да смо омогућили фаил2бан само за ссхд услугу. Додатне информације о ссхд услузи можемо добити навођењем имена услуге у горњој команди.
Фаил2бан аутоматски забрањује забрану забране ИП адресе након бантимеа, али можемо забранити забрану било које ИП адресе у било ком тренутку помоћу командне линије. Ово ће дати већу контролу над фаил2бан. Користите следећу наредбу за одбрану забране ИП адресе.
[заштићен е-поштом]: ~ $ судо фаил2бан-цлиент сет ссхд унбанип 192.168.43.35
Ако покушате да забраните ИП адресу коју није блокирао фаил2бан, она ће вам само рећи да ИП није блокирана.
[заштићен е-поштом]: ~ $ судо фаил2бан-цлиент сет ссхд унбанип 192.168.43.35
Закључак
За системског администратора или инжењера безбедности велики је изазов одржати сигурност сервера. Ако је ваш сервер заштићен лозинком, а не паром јавног и приватног кључа, тада је сервер рањивији на нападаче грубом силом. Они могу ући у ваш систем применом различитих комбинација лозинки. Фаил2бан је алат који нападачима може ограничити покретање различитих врста напада, укључујући грубе нападе и ДДоС нападе на вашем серверу. У овом упутству смо разговарали о томе како бисмо могли користити Фаил2бан да заштитимо наш сервер од различитих напада. Фаил2бан такође можемо користити за заштиту других услуга као што су апацхе, нгинк итд.
