Настройка Fail2Ban

При наличии и использовании сервера или компьютера имеющего необходимость быть подключённым к интернету, ввиду своего функционала, необходимо побеспокоиться о безопасности. В частности правильно настроенный файерволл может преградить путь злоумышленнику, но не спасёт от атаки перебором или, как ещё называет «bruteforce». Поскольку было бы проблематично самостоятельно мониторить попытки подключения по логам было разработано и внедрено приложение fail2ban.

Его основной задачей является просматривание событий лога и временная блокировка источника большого количества неверных попыток авторизации. После чего передаются соответствующие команды для перестраивания цепочек iptables.

1. Проверка наличия \ Установка

Приложение довольно распространено и зачастую уже входит в состав операционной системы. Проверить наличие можно несколькими способами и вот некоторые из них:

# service fail2ban status

Проверка запущенного сервиса. Самый очевидный признак наличия и работы приложения.

# ls -l /etc/fail2ban

Проверка наличия файлов конфигурации и «белого листа»

Если у Вас результат команд примерно, как на скринах выше – значит приложение уже установлено и запущено. Если это не так проделаем несколько шагов по его установке.

# sudo yum install epel-release -y

Как уже говорилось ранее, программа часто используется и поэтому включена в официальный репозиторий EPEL. Для установки сначала добавляем репозиторий.

# sudo yum install fail2ban –y

После установки будет доступен базовый функционал и останется лишь запустить демон:

# sudo service fail2ban start

И не забыть добавить его в автозапуск:

Если Вы видите то же что и на скриншотах установка завершена успешно далее следует заняться более детальной настройкой.

2. Настройка

Выше мы уже заглядывали в директорию с конфигурационными файлами приложения. Сейчас же рассмотрим их значение и применение подробнее. Основные из них:

• fail2ban.conf – основные конфигурации
• jail.conf – настройка запрещающих событий
• jail.d – папка для настройки запрещающих событий
• action.d – файлы в которых хранятся обработчики запрещённых событий
• filter.d – файлы в которых задаются алгоритмы парсинга логов на предмет попыток несанкционированного доступа

Менять параметры в существующих файлах бессмысленно и бесполезно. Вместо этого в нужной директории создаётся клон файла, который вы хотели бы отредактировать, но с заменой расширения на *.local. Например, самый распространённый вариант:

# cp /etc/jail.conf /etc/jail.local

Рассмотрим содержимое этого файла. Он делится на блоки в зависимости от назначения и правил обработки. В секции [DEFAULT] содержатся настройки наследуемые всеми остальными, после него создаются отдельные. В большинстве случаев достаточно настроек по умолчанию, но если есть необходимость можно вмешаться и повысить безопасность или наоборот исключить отдельные ip или целые подсети из сканирования.

Теперь разберём параметры внутри каждого блока:

Ignoreip – задаёт список ip-адресов, которые будут навсегда исключены из сканирования и даже при n-ом обращении с неверными данными авторизации – ничего не будет производиться. Удобно сюда добавить локальную и административную подсеть, а так же удалённых сотрудников обслуживания.

Bantime – как можно догадаться из названия, этот параметр указывает на какое время будет блокирован источник неправильных обращений.

Maxretry – количество попыток прежде чем будут предприняты меры ограничения доступа
Findtime – время которое выделено на поиск и расчет значения «Maxretry»

Рассмотрим пример:

Пропустим секцию [DEFAUL] и разберём настройки [asterisk-auth]. Согласно параметрам:

1. правило включено
2. поиск осуществляется за последний час
3. бан будет выдан на 20 минут
4. после 5 неверных попыток авторизации

Вот таким способом можно задать условия блокировки. Так же существует ряд других параметров:

Banaction – этот параметр хранит в себе файлы конфигурации способа блокировки, который будет применён в этой секции. Как правило указывает на файл в /etc/fail2ban/action.d/. По умолчанию осуществляется правка цепочек iptables.

Action – этот параметр определяет дополнительные действия производимые системой после предыдущего действия. Здесь требуется указать: имя, порт, протокол передачи, назначение и сценарий.

3. Уведомления об активации на почту

При необходимости уведомлять администратора о попытках взлома – можно настроить отправку сообщений на его почту.

Для настройки есть два параметра:

Destmail – согласно названию, здесь указывается получатель сообщения. По умолчанию это: root@localhost
Mta – почтовый агент через который будет осуществляться передача. Если Вы используете SendMail, значение менять не нужно.

Для проверки отправки почты можно просмотреть файл:

# nano /var/mail/mail

4. Настройка привязки к приложениям

После блока [DEFAULT] будут идти отдельные вида [название_приложения] в них можно использовать особые аргументы:

Filter – сообщает приложению файл конфигурации с описанием предмета поиска в логе. Как правило хранится в директории /etc/fail2ban/filter.d
Logpath – указывает путь к анализируемым файлам логов.

В каждой наследуемой секции можно переопределять параметры заданные по умолчанию. Здесь есть заранее прописанные правила для ssh,http,ftp и прочих средств доступа. Для их активации нужно заменить значение параметра «enabled = true».

Для примера перепишем секцию защищающую доступ по SSH:

5. Работа через iptables

Обычно донастраивать iptables нет необходимости, но всё же остановимся на нём, чтобы понимать, как осуществляется взаимодействие с приложением fail2ban. Рассмотрим файл /etc/fail2ban/action.d/iptables-multiport.conf

В нём описываются действия, которые будут предприняты после того, как система определит злоумышленника и перейдёт от анализа к «обороне».

Первое действие:

actionstart = <iptables> -N f2b-<name>
              <iptables> -A f2b-<name> -j <returntype>
              <iptables> -I <chain> -p <protocol> -m multiport --dports <port> -j f2b-<name>

Т.е. весь входящий трафик с целевого порта обрабатывается цепочкой f2b-имя_службы. В данный момент весть трафик заворачивается обратно в вызывающую цепочку без каких-либо изменений. Но теперь мы можем задать дополнительные условия.

Второе:

actionstop = <iptables> -D <chain> -p <protocol> -m multiport --dports <port> -j f2b-<name>
             <iptables> -F f2b-<name>
             <iptables> -X f2b-<name>

Служит напротив – для удаления цепочек. Теперь, когда нужно будет прерывать попытки доступа с некоторого ip приложение выполнит команду:

actionban = <iptables> -I f2b-<name> 1 -s <ip> -j <blocktype>

Здесь мы отбрасываем все пакеты с конкретного ip, не пытаясь их анализировать. После того как истёк период блокировки правило отменяется через команду:

actionunban = <iptables> -D f2b-<name> -s <ip> -j <blocktype>

После того как все действия произведены проверим корректность настроек выполнив команду:

# sudo fail2ban-client –d

И если всё прошло без уведомлений об ошибках выполним перезапуск сервиса:

# sudo service fail2ban-client restart

Для тестирования можно несколько раз попробовать зайти на целевой сервис с неправильными данными авторизации. Когда Вы достигните настроенного ограничения, сервер перестанет даже выдавать запрос на авторизацию.

Наличие или отсутствие блокирующих цепочек можно просмотреть через команду:

Iptables –L –nv

В самом низу будет ряд цепочек:

Если необходимо удалить цепочку или правило: просто воспользуйтесь управлением iptables через консоль.