înregistrare Logare
Puncte:1
LinuxSecurityFreak avatar Server

configurare inițială fail2ban - ghid

drapel ru
LinuxSecurityFreak

Din înțelegerea mea de bază despre iptables Am pus cap la cap setup-ul de mai jos destinat să ruleze un releu Tor... iată-l după 6 ore aprox. Vă rugăm să rețineți că nu vreau să discut despre operațiuni Tor și, prin urmare, nu voi fi indicat https://tor.stackexchange.com/ Mulțumesc.

A fost un atac mare pe portul 22, pe care l-am observat când m-am trezit, așa că l-am schimbat, autentificarea prin parolă era deja dezactivată, dar persoana/rotul a încercat oricum să intre, am un RSA public/ lung de 8192 de biți. cheie privată, așa că sper că va fi suficient.

# iptables -L -v --line-numbers

iesiri:

INTRARE în lanț (politica DROP 8242 pachete, 735K octeți)
num pkts octeți target prot opt ​​in out sursă destinație         
1 0 0 DROP tcp -- oriunde oriunde oriunde ctstate NOU steaguri tcp:!FIN,SYN,RST,ACK/SYN /* protectie: pachete non-syn */
2 10 452 DROP all -- oriunde oriunde oriunde ctstate INVALID /* protectie: pachete malformate */
3 20 1000 ACCEPT all -- oriunde oriunde oriunde /* loopback: obligatoriu */
4 3 98 ACCEPT icmp -- oriunde oriunde oriunde limită de solicitare eco icmp: avg 2/sec burst 5 /* ICMP: numai ping */
5 16625 9388K ACCEPT toate -- oriunde oriunde oriunde ctstate RELATED,STABLISHED /* trafic */
6 7 420 ACCEPT tcp -- oriunde oriunde oriunde ctstate NEW,STABLISHED tcp dpt:xxyyzz /* SSH: ofuscat global */ <-- CENZURAT
7 438 26080 ACCEPT tcp -- oriunde oriunde oriunde tcp dpt:9001 /* Tor: SAU */
8 558 30828 ACCEPT tcp -- oriunde oriunde oriunde tcp dpt:9030 /* Tor: Dir */

Lanț FORWARD (politica DROP 0 pachete, 0 octeți)
num pkts octeți target prot opt ​​in out sursă destinație         

IEȘIRE în lanț (politica ACCEPTĂ 16969 pachete, 6369K octeți)
num pkts octeți target prot opt ​​in out sursă destinație

Aș dori să desfășoare fail2ban, dar nu l-am folosit niciodată, așa că am găsit mai multe ghiduri pentru a-l configura, dar cred că ar trebui să avem un exemplu pe acest site, am găsit prea multe rezultate pentru fail2ban singur, însă doar nimic relevant pentru fail2ban configurare inițială

Dacă acest lucru din orice motiv nu se poate face aici, vă rugăm să comentați și voi șterge această întrebare mai târziu.

Sistem: Debian GNU/Linux 11 (bullseye) cu openssh-server pentru serviciul ssh.

Multumesc anticipat!

PS: Migrat din https://security.stackexchange.com/

79
1 + 0
Puncte:1
Ajay Singh avatar Server
drapel us
Ajay Singh

Instalarea f2b pe deb este destul de simplă. Am mai scris despre o postare (https://dev.slickalpha.blog/2019/11/installing-lemp-stack-on-debian-buster.html#sv-fail2ban).

Mai întâi instalezi f2b

apt install fail2ban -y

Copiați configurația în local

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

și faceți modificările pe fișierul local

nano /etc/fail2ban/jail.local

actualizați valorile implicite (portul 22 este preactivat pe f2b)

[MOD IMPLICIT]
...
# OPȚIUNI DIVERSE...
bantime = 86400
timp de căutare = 86400
maxretry = 2`

Reporniți f2b

/etc/init.d/fail2ban reporniți

Verificați starea sshd 22

fail2ban-client status sshd

În afară de aceasta, utilizarea cheii cu frază de acces ar trebui să fie suficientă. Puteți oricând să reglați fin f2b.

Actualizați:

Fail2ban verifică practic jurnalele pentru IP-uri, folosind filtre regex și blochează IP-urile de potrivire folosind iptables.

Pentru a enumera închisorile activate (filtre regex pentru un serviciu în f2b)

starea fail2ban-client

Pentru a apăra un port sau serviciu personalizat,

Verificați dacă filtrele regex pentru serviciul respectiv sunt prezente

ls /etc/fail2ban/filter.d

Dacă sunt prezenți, să zicem nume-închisoare.conf, doar activați-le pe fișierul local f2b

nano /etc/fail2ban/jail.local

Sub sintaxă

[nume-închisoare]
..Opțiuni..

să spunem dacă sshd nu a fost activat, adăugați activat = adevărat la închisoare sshd

[sshd]
activat = adevărat
....

Pentru a testa închisorile pe jurnalele dvs. și pentru a actualiza regex dacă lipsește

fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf

Dacă închisori nu există pentru un serviciu sau port, verificați online acele filtre și adăugați acele filtre la /etc/fail2ban/filter.d și activați-l în fișierul de configurare local.

0 + 2
Ajay Singh avatar
drapel us
Ajay Singh
Ce port utilizați și acest port este personalizat pentru tor?
0
Răspunde
Ajay Singh avatar
drapel us
Ajay Singh
Am actualizat postarea pentru porturi și servicii personalizate. De asemenea, puteți limita porturile direct folosind iptables (după cum se menționează în postarea legată) și urmăriți jurnalele serviciilor pe care le utilizați și adăugați cereri de atac la fail2ban.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.