fall2ban 초기 설정 - 지침

fall2ban 초기 설정 - 지침

제가 기본적으로 이해한 바에 따르면 iptablesTor 릴레이를 실행하기 위해 아래 설정을 구성했습니다... 대략 6시간 후입니다. 나는 Tor 운영에 대해 논의하고 싶지 않으므로 언급하지 않을 것입니다.https://tor.stackexchange.com/감사합니다.

포트 22에 큰 공격이 있었는데, 아침에 일어났을 때 발견해서 변경했습니다. 비밀번호 인증은 이미 비활성화되어 있었지만 어쨌든 사람/봇이 침입을 시도했습니다. 8192비트 길이의 RSA 공개/ 개인 키이므로 충분할 것으로 예상됩니다.


# iptables -L -v --line-numbers

출력:

Chain INPUT (policy DROP 8242 packets, 735K bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 DROP       tcp  --  any    any     anywhere             anywhere             ctstate NEW tcp flags:!FIN,SYN,RST,ACK/SYN /* protection: non-syn packets */
2       10   452 DROP       all  --  any    any     anywhere             anywhere             ctstate INVALID /* protection: malformed packets */
3       20  1000 ACCEPT     all  --  lo     any     anywhere             anywhere             /* loopback: compulsory */
4        3    98 ACCEPT     icmp --  any    any     anywhere             anywhere             icmp echo-request limit: avg 2/sec burst 5 /* ICMP: ping only */
5    16625 9388K ACCEPT     all  --  any    any     anywhere             anywhere             ctstate RELATED,ESTABLISHED /* traffic */
6        7   420 ACCEPT     tcp  --  any    any     anywhere             anywhere             ctstate NEW,ESTABLISHED tcp dpt:xxyyzz /* SSH: global obfuscated */  <-- CENSORED
7      438 26080 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:9001 /* Tor: OR */
8      558 30828 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:9030 /* Tor: Dir */

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 16969 packets, 6369K bytes)
num   pkts bytes target     prot opt in     out     source               destination         

을 배포하고 싶지만 fail2ban사용해 본 적이 없어서 여러 개를 찾았습니다.가이드설정하려면 이 사이트에 몇 가지 예가 있어야 한다고 생각합니다. fail2ban단독으로는 너무 많은 결과를 찾았지만 관련성이 있는 것은 없습니다.fail2ban초기 설정

답변1

deb에 f2b를 설치하는 것은 매우 간단합니다. 예전에 포스팅에 쓴 적이 있었는데(https://dev.slickalpha.blog/2019/11/installing-lemp-stack-on-debian-buster.html#sv-fail2ban).

먼저 f2b를 설치하세요

apt install fail2ban -y

구성을 로컬에 복사

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

로컬 파일을 편집하세요.

nano /etc/fail2ban/jail.local

기본값 업데이트(포트 22는 f2b에서 사전 활성화되어 있음)

[DEFAULT]
...
# MISCELLANEOUS OPTIONS...
bantime  = 86400
findtime  = 86400
maxretry = 2`

F2B 다시 시작

/etc/init.d/fail2ban restart

SSHD 22 상태 확인

fail2ban-client status sshd

이 외에도 암호와 함께 키를 사용하는 것만으로도 충분합니다. 언제든지 f2b를 미세 조정할 수 있습니다.

업데이트:

Fail2ban은 기본적으로 정규식 필터를 사용하여 IP에 대한 로그를 확인하고 iptables를 사용하여 일치하는 IP를 차단합니다.

활성화된 감옥을 나열하려면(f2b의 서비스에 대한 정규식 필터)

fail2ban-client status

사용자 정의 포트나 서비스를 방어하려면

해당 서비스에 대한 정규식 필터가 있는지 확인하세요.

ls /etc/fail2ban/filter.d

존재하는 경우 jail-name.conff2b 로컬 파일에서 활성화하십시오.

nano /etc/fail2ban/jail.local

구문 아래

[jail-name]
..options..

enabled = truesshd가 활성화되지 않은 경우 sshd 감옥에 추가한다고 가정해 보겠습니다.

[sshd]
enabled = true
....

로그에 대해 감옥을 테스트하고 누락된 경우 정규식을 업데이트하려면

fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf

서비스 또는 포트에 대한 감옥이 존재하지 않는 경우 온라인에서 해당 필터를 확인하고 해당 필터를 /etc/fail2ban/filter.d로컬 구성 파일에 추가하고 활성화하십시오.

관련 정보