Jak używać Fail2ban do zabezpieczenia swojego serwera przed atakami brute-force?
Jak używać Fail2ban do zabezpieczenia swojego serwera przed atakami brute-force?
Ataki brute-force są jednym z najpopularniejszych rodzajów ataków na serwery. Polegają na próbie odgadnięcia haseł poprzez systematyczne wprowadzanie wszystkich możliwych kombinacji. Aby zabezpieczyć swoje usługi hostingowe, takie jak serwery VPS, serwery LXC, serwery KVM Cloud Fast i KVM Cloud Storage, przed tego rodzaju atakami, warto użyć narzędzia Fail2ban. W tym artykule pokażemy, jak zainstalować i skonfigurować Fail2ban na swoim serwerze.
Instalacja Fail2ban
Instalacja Fail2ban jest prosta i zależy od systemu operacyjnego, którym posługujesz się na swoim serwerze. Poniżej przedstawiamy instrukcje dla najpopularniejszych dystrybucji Linux.
Debian/Ubuntu:
sudo apt-get update
sudo apt-get install fail2banCentOS/RHEL:
sudo yum install epel-release
sudo yum install fail2banFedora:
sudo dnf install fail2banKonfiguracja Fail2ban
Po zainstalowaniu Fail2ban, należy skonfigurować jego działanie. W tym celu utworzymy plik konfiguracyjny o nazwie jail.local w katalogu /etc/fail2ban/. Plik ten będzie zawierał indywidualne ustawienia dla naszego serwera.
sudo nano /etc/fail2ban/jail.localW pliku konfiguracyjnym dodajemy następujące linie, które definiują podstawowe ustawienia Fail2ban:
[DEFAULT]
ignoreip = 127.0.0.1/8
bantime = 3600
findtime = 600
maxretry = 3
backend = auto
usedns = warn
destemail = your-email@example.com
sender = fail2ban@example.com
action = %(action_mwl)sWartości parametrów można dostosować do własnych potrzeb, ale poniżej przedstawiamy krótki opis poszczególnych opcji:
- ignoreip – lista adresów IP, które mają być ignorowane przez Fail2ban (nie będą blokowane).
- bantime – czas trwania blokady w sekundach (3600 to 1 godzina).
- findtime – okres czasu, w którym Fail2ban analizuje próby logowania (600 sekund to 10 minut).
- maxretry – liczba dozwolonych prób logowania w ciągu okresu findtime.
- backend – rodzaj mechanizmu używanego przez Fail2ban do monitorowania logów.
- usedns – określa, czy Fail2ban ma używać rozwiązania DNS do sprawdzania adresów IP.
- destemail – adres e-mail, na który mają być wysyłane powiadomienia o zablokowanych adresach IP.
- sender – adres e-mail, z którego będą wysyłane powiadomienia.
- action – określa, jakie działania mają być podejmowane w przypadku wykrycia ataku brute-force (w tym przypadku blokowanie adresu IP i wysyłanie powiadomienia e-mail).
Monitorowanie usług z Fail2ban
Fail2ban pozwala na monitorowanie różnych usług, takich jak SSH, Apache, Nginx czy panel DirectAdmin. W celu dodania monitorowania danej usługi, dodajemy sekcję związana z tą usługą do pliku /etc/fail2ban/jail.local.
Przykład monitorowania usługi SSH:
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3Wartości parametrów można dostosować do własnych potrzeb, ale poniżej przedstawiamy krótki opis poszczególnych opcji:
- enabled – włączenie/wyłączenie monitorowania danej usługi (true/false).
- port – port, na którym działa usługa (domyślnie SSH działa na porcie 22).
- filter – nazwa filtra, który ma być używany dla danej usługi (dla SSH używamy filtra sshd).
- logpath – ścieżka do pliku logów danej usługi (dla SSH jest to zazwyczaj /var/log/auth.log).
- maxretry – liczba dozwolonych prób logowania w ciągu okresu findtime, zdefiniowanego wcześniej.
Po zakończeniu konfiguracji, należy zrestartować usługę Fail2ban, aby wprowadzone zmiany zostały uwzględnione:
sudo systemctl restart fail2banPodsumowanie
Fail2ban to niezawodne narzędzie, które pomoże Ci zabezpieczyć serwer przed atakami brute-force. Dzięki prostej instalacji i konfiguracji, możesz szybko wzmocnić bezpieczeństwo swojego serwera i chronić swoje dane oraz usługi hostingowe iqhost.pl. Pamiętaj, że regularne aktualizacje oprogramowania i monitorowanie logów to klucz do utrzymania wysokiego poziomu bezpieczeństwa.
Sprawdź naszą ofertę hostingową, która obejmuje szybkie serwery, niezawodność i najlepszą obsługę klienta ### ZAKTUALIZOWANO ###
