Phenquestions
Сви сервери којима је могуће приступити са Интернета ризикују нападе малвера. На пример, ако имате апликацију која је доступна из јавне мреже, нападачи могу да покушају грубу силу да добију приступ апликацији.
Фаил2бан је алат који помаже у заштити ваше Линук машине од грубе силе и других аутоматизованих напада надгледањем дневника услуга због злонамерних активности. Користи регуларне изразе за скенирање датотека дневника. Броје се сви уноси који се подударају са обрасцима, а када њихов број достигне одређени унапред дефинисани праг, Фаил2бан забрањује увредљиву ИП адресу користећи системски заштитни зид одређено време. Када истекне период забране, ИП адреса се уклања са листе забране.
Овај чланак објашњава како инсталирати и конфигурирати Фаил2бан на Дебиан 10.
Инсталирање Фаил2бан на Дебиан #
Пакет Фаил2бан укључен је у задана спремишта Дебиан 10. Да бисте га инсталирали, покрените следећу наредбу као роот или корисник са судо привилегијама:
судо апт упдатесудо апт инсталирати фаил2бан
По завршетку услуга Фаил2бан аутоматски ће се покренути. То можете проверити провером статуса услуге:
судо системцтл статус фаил2банИзлаз ће изгледати овако:
● фаил2бан.услуга - Фаил2Бан Услуга је учитана: учитана (/ либ / системд / систем / фаил2бан.услуга; омогућено; унапред подешено: добављач активан: активан (активан) од Сре 2021-03-10 18:57:32 УТЦ; Пре 47с… То је то. У овом тренутку Фаил2Бан је покренут на вашем Дебиан серверу.
Фаил2бан Цонфигуратион #
Подразумевана инсталација Фаил2бан долази са две конфигурационе датотеке, / етц / фаил2бан / јаил.цонф и / етц / фаил2бан / јаил.д / подразумевано-дебиан.цонф. Не бисте требали модификовати ове датотеке, јер могу бити преписане када се пакет ажурира.
Фаил2бан чита конфигурационе датотеке у следећем редоследу. Свака .локално датотека замењује поставке из .цонф датотека:
/ етц / фаил2бан / јаил.цонф/ етц / фаил2бан / јаил.д / *.цонф/ етц / фаил2бан / јаил.локално/ етц / фаил2бан / јаил.д / *.локално
Најлакши начин да конфигуришете Фаил2бан је копирање датотеке затвор.цонф до затвор.локално и измените .локално датотека. Напреднији корисници могу да направе .локално конфигурациона датотека од нуле. Тхе .локално датотека не мора да садржи сва подешавања из одговарајуће .цонф датотеку, само оне које желите да замените.
Створити .локално конфигурациону датотеку копирањем подразумеване затвор.цонф датотека:
судо цп / етц / фаил2бан / јаил.цонф, лоцалДа бисте започели конфигурисање отвореног сервера Фаил2бан, затвор.локално датотека у вашем уређивачу текста:
судо нано / етц / фаил2бан / јаил.локалноДатотека садржи коментаре који описују шта свака опција конфигурације ради. У овом примеру ћемо променити основна подешавања.
ИП адресе на белој листи #
ИП адресе, опсези ИП или хостови које желите искључити из забране могу се додати у игнореип директива. Овде бисте требали додати своју локалну ИП адресу рачунара и све остале машине које желите да ставите на белу листу.
Раскоментаришите ред који почиње са игнореип и додајте своје ИП адресе раздвојене размаком:
игнореип = 127.0.0.1/8 :: 1 123.123.123.123 192.168.1.0/24 Подешавања забране #
бантиме, финдтиме, и макретри опције постављају време забране и услове забране.
бантиме је трајање за које је ИП забрањен. Када није наведен ниједан суфикс, задане вредности су секунде. Подразумевано, бантиме вредност је постављена на 10 минута. Већина корисника више воли да подешава дуже време забране. Промените вредност по свом укусу:
бантиме = 1д Да бисте трајно забранили ИП, користите негативни број.
финдтиме је трајање између броја кварова пре постављања забране. На пример, ако је Фаил2бан постављен да забрани ИП након пет неуспеха (макретри, види доле), ти кварови се морају догодити у оквиру финдтиме трајање.
време проналаска = 10м макретри је број кварова пре забране ИП-а. Подразумевана вредност је постављена на пет, што би за већину корисника требало да буде у реду.
макретри = 5 Емаил Обавештења #
Фаил2бан може да шаље упозорења е-поштом када је ИП забрањен. Да бисте добијали е-пошту, на вашем серверу морате имати инсталиран СМТП и променити подразумевану радњу, која забрањује само ИП адресу % (ацтион_мв) с, како је приказано испод:
акција =% (ацтион_мв) с % (ацтион_мв) с забрани ИП који крши и пошаље е-пошту са вхоис извештајем. Ако желите да укључите релевантне евиденције у е-пошту, подесите акцију на % (ацтион_мвл) с.
Такође можете да промените адресе е-поште за слање и примање:
/ етц / фаил2бан / јаил.локалнодестемаил = админ @ линукизе.цом пошиљалац = роот @ линукизе.цом Фаил2бан Јаилс #
Фаил2бан користи концепт затвора. Затвор описује услугу и укључује филтере и радње. Броје се уноси дневника који се подударају са обрасцем претраживања, а када се испуни унапред дефинисани услов, извршавају се одговарајуће радње.
Фаил2бан испоручује неколико затвора за различите услуге. Такође можете креирати сопствене конфигурације затвора. Подразумевано је омогућен само ссх затвор.
Да бисте омогућили затвор, морате да додате омогућено = тачно после затворске титуле. Следећи пример показује како омогућити постфик затвор:
[постфик] омогућен = труе порт = смтп, ссмтп филтер = постфик логпатх = / вар / лог / маил.Пријава Поставке о којима смо разговарали у претходном одељку могу се подесити по затвору. Ево примера:
/ етц / фаил2бан / јаил.локално[ссхд] омогућено = труе макретри = 3 финдтиме = 1д бантиме = 4в игнореип = 127.0.0.1/8 11.22.33.44 Филтери се налазе у / етц / фаил2бан / филтер.д директоријум, ускладиштен у датотеци са истим именом као затвор. Ако имате прилагођено подешавање и искуство са регуларним изразима, можете фино подесити филтере.
Сваки пут када се конфигурациона датотека измени, услуга Фаил2бан мора се поново покренути да би промене ступиле на снагу:
судо системцтл рестарт фаил2банФаил2бан Цлиент #
Фаил2бан се испоручује са алатком за командну линију именованом фаил2бан-цлиент које можете користити за интеракцију са услугом Фаил2бан.
Да бисте прегледали све доступне опције, позовите команду помоћу -х опција:
фаил2бан-цлиент -хОвај алат се може користити за забрану / забрану забране ИП адреса, промену подешавања, поновно покретање услуге и још много тога. Ево неколико примера:
Дознајте тренутни статус сервера:
судо фаил2бан-статус клијентаПроверите статус затвора:
судо фаил2бан-статус клијента ссхдОпозови забрану ИП адресе:
судо фаил2бан-цлиент сет ссхд унбанип 11.22.33.44Забраните ИП:
судо фаил2бан-цлиент сет ссхд банип 11.22.33.44
Закључак #
Показали смо вам како инсталирати и конфигурирати Фаил2бан на Дебиан 10.
За више информација о овој теми посетите документацију Фаил2бан .
Ако имате питања, слободно оставите коментар испод.
