Ich richte fail2ban für meine EC2-Instanzen ein, auf denen jeweils unterschiedliche Dienste ausgeführt werden. Daher konfiguriere ich die Jails speziell für jeden Dienst. Ich habe zwei Fragen (auf die ich anderswo keine Antwort finden konnte):
- Wenn eine IP von fail2ban wegen fehlgeschlagener Authentifizierung an einem Port blockiert wird, kann dieser Benutzer dann immer noch über andere offene Ports darauf zugreifen?
- Wie ist das Blockieren bestimmter Ports im Vergleich zum Blockieren aller Ports mit der hier erwähnten Konfiguration? Wäre es nicht sicherer, alle offenen Ports zu blockieren, da ich schließlich nicht möchte, dass der Hacker eindringt?
Antwort1
(Vorausgesetzt, das Betriebssystem ist Linux)
Fehler2Banist ein gut gemachtes Werkzeug, gesegnet mit einem hohen Maß an Konfiguration.
Unter Linux Ubuntu befindet sich die Konfiguration in/etc/fail2ban
Frage 1
jail.confSofern Sie die Konfiguration nicht ändern, werden nur die für den jeweiligen Dienst genannten Ports blockiert.
Frage 2
Sie können auch alle Ports blockieren. Dies hängt von der gewünschten Sicherheitsstufe ab, aber das Blockieren aller Ports kann Nachteile haben.
Persönlich bevorzuge ich es, nur den Port zu blockieren, der missbraucht wurde. Denn
- Wenn auch andere Ports missbraucht werden (und wenn sie in deklariert sind
jail.conf), werden sie ebenfalls blockiert - manche IP-Adressen werden von einem ganzen Unternehmen oder von vielen Personen gemeinsam genutzt. Durch die Sperrung aller Ports für den Missbrauch
sshverhindern Siehttp/sbeispielsweise , dass jeder mit dieser Adresse auf die Adresse zugreifen kann. - Auch eine Totalsperrung kann für Sie von Belang sein. Sie machen beispielsweise bei der Nutzung ein paar Passwortfehler
sshund schon ist ein anderer Port, der einen anderen Zugang, beispielsweise vom Provider, erlauben würde, nicht mehr erreichbar.
Um weitere oder alle Ports zu blockieren, können Sie die jail.confDatei ändern.
Einige der Standardattribute sind (in [DEFAULT]):
# "bantime" is the number of seconds that a host is banned.
bantime = 10m
# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime = 10m
# "maxretry" is the number of failures before a host get banned.
maxretry = 5
# Ports to be banned (Usually should be overridden in a particular jail)
port = 0:65535
d. h. alle Ports.
Für [sshd]zum Beispiel (und alle Dienste) portwird neu definiert
[sshd]
port = ssh
Sie könnten die Zeile einfach auskommentieren, portum zu den Standardeinstellungen zurückzukehren, aber ich würde einen Kommentar und eine neue Portzeile hinzufügen, um die Wartung zu erleichtern (andere Leute / Sie in 3 Jahren).
[sshd]
# 25 Aug 2020 Rohit, block all ports
#port = ssh
port = 0:65535
Ändern der Standardeinstellung
Sie sehen im action.dVerzeichnis die Liste der möglichen Aktionen. Die Standardeinstellung ist jail.conf,
banaction = iptables-multiport
das kann auch geändert werden in
banaction = iptables-allports
das würde alle Dienste betreffen, ohne dass es zu einer Neudefinition kommt banaction.
Fail2ban neu starten
Starten Sie dann den Dienst neu, für systemd
systemctl restart fail2ban.service
oder
service fail2ban restart
(Zu Ihrer Information: Das filter.dVerzeichnis listet für jeden Dienst die Art und Weise auf,Fehler2Banerkennt einen Einbruchsversuch)
Sehen Sie sich auch die Kommentare unten an, sie können wertvolle Informationen enthalten.