Ausgehend von meinem Grundverständnis iptableshabe ich das folgende Setup zusammengestellt, das ein Tor-Relay ausführen soll... hier ist es nach ungefähr 6 Stunden. Bitte beachten Sie, dass ich keine Tor-Operationen diskutieren möchte und daher nicht darauf verwiesen werde.https://tor.stackexchange.com/Danke schön.
Es gab einen großen Angriff auf Port 22, den ich gleich nach dem Aufwachen bemerkt habe. Deshalb habe ich ihn geändert. Die Kennwortauthentifizierung war bereits deaktiviert, aber die Person/der Bot hat trotzdem versucht, einzudringen. Ich habe einen 8192 Bit langen öffentlichen/privaten RSA-Schlüssel, also hoffe ich, dass das ausreicht.
# iptables -L -v --line-numbers
Ausgänge:
Chain INPUT (policy DROP 8242 packets, 735K bytes)
num pkts bytes target prot opt in out source destination
1 0 0 DROP tcp -- any any anywhere anywhere ctstate NEW tcp flags:!FIN,SYN,RST,ACK/SYN /* protection: non-syn packets */
2 10 452 DROP all -- any any anywhere anywhere ctstate INVALID /* protection: malformed packets */
3 20 1000 ACCEPT all -- lo any anywhere anywhere /* loopback: compulsory */
4 3 98 ACCEPT icmp -- any any anywhere anywhere icmp echo-request limit: avg 2/sec burst 5 /* ICMP: ping only */
5 16625 9388K ACCEPT all -- any any anywhere anywhere ctstate RELATED,ESTABLISHED /* traffic */
6 7 420 ACCEPT tcp -- any any anywhere anywhere ctstate NEW,ESTABLISHED tcp dpt:xxyyzz /* SSH: global obfuscated */ <-- CENSORED
7 438 26080 ACCEPT tcp -- any any anywhere anywhere tcp dpt:9001 /* Tor: OR */
8 558 30828 ACCEPT tcp -- any any anywhere anywhere tcp dpt:9030 /* Tor: Dir */
Chain FORWARD (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 16969 packets, 6369K bytes)
num pkts bytes target prot opt in out source destination
Ich würde es gerne einsetzen fail2ban, habe es aber nie benutzt, also habe ich mehrere gefundenAnleitungenum es einzurichten, aber ich glaube, wir sollten einige Beispiele auf dieser Seite haben, ich habe zu viele Ergebnisse für fail2banallein gefunden, jedoch nur nichts relevantes fürfail2banErsteinrichtung
Antwort1
Die Installation von f2b auf deb ist ziemlich einfach. Ich hatte bereits in einem früheren Beitrag darüber geschrieben (https://dev.slickalpha.blog/2019/11/installing-lemp-stack-on-debian-buster.html#sv-fail2ban).
Zuerst installieren Sie f2b
apt install fail2ban -y
Konfiguration lokal kopieren
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
und nehmen Sie Ihre Änderungen an der lokalen Datei vor
nano /etc/fail2ban/jail.local
Standardwerte aktualisieren (Port 22 ist auf f2b voraktiviert)
[DEFAULT]
...
# MISCELLANEOUS OPTIONS...
bantime = 86400
findtime = 86400
maxretry = 2`
Starten Sie f2b neu
/etc/init.d/fail2ban restart
Überprüfen Sie den Status von SSHD 22
fail2ban-client status sshd
Abgesehen davon sollte die Verwendung eines Schlüssels mit Passphrase ausreichen. Sie können f2b jederzeit feinabstimmen.
Aktualisieren:
Fail2ban überprüft grundsätzlich Protokolle auf IPs, indem es Regex-Filter verwendet und passende IPs mithilfe von iptables blockiert.
So listen Sie die aktivierten Jails auf (Regex-Filter für einen Dienst in f2b)
fail2ban-client status
Um einen benutzerdefinierten Port oder Dienst zu verteidigen,
Überprüfen Sie, ob Regex-Filter für diesen Dienst vorhanden sind
ls /etc/fail2ban/filter.d
Wenn sie beispielsweise vorhanden sind, jail-name.confaktivieren Sie sie einfach in der lokalen f2b-Datei.
nano /etc/fail2ban/jail.local
Unter Syntax
[jail-name]
..options..
sagen wir, wenn sshd nicht aktiviert war, fügen Sie enabled = truezum sshd-Jail hinzu
[sshd]
enabled = true
....
Um die Jails anhand Ihrer Protokolle zu testen und Regex zu aktualisieren, falls diese fehlen
fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf
Wenn für einen Dienst oder Port keine Jails vorhanden sind, suchen Sie online nach den entsprechenden Filtern, fügen Sie diese Filter hinzu /etc/fail2ban/filter.dund aktivieren Sie sie in der lokalen Konfigurationsdatei.