Score:1

การตั้งค่าเริ่มต้นของ fail2ban - คำแนะนำ

ธง ru

จากความเข้าใจพื้นฐานของฉันเกี่ยวกับ iptables ฉันรวบรวมการตั้งค่าด้านล่างเพื่อเรียกใช้รีเลย์ Tor... หลังจากผ่านไป 6 ชั่วโมงโดยประมาณ โปรดทราบว่าฉันไม่ต้องการพูดคุยเกี่ยวกับการทำงานของ Tor ใดๆ ดังนั้นฉันจะไม่ชี้ไปที่ https://tor.stackexchange.com/ ขอขอบคุณ.

มีการโจมตีครั้งใหญ่ที่พอร์ต 22 ซึ่งฉันเห็นเมื่อฉันตื่นขึ้น ดังนั้นฉันจึงเปลี่ยนมัน การรับรองความถูกต้องของรหัสผ่านถูกปิดใช้งานไปแล้ว แต่บุคคล/บอตก็พยายามที่จะบุกรุกอยู่ดี ฉันมี RSA ยาว 8192 บิต สาธารณะ/ รหัสส่วนตัว ดังนั้นฉันหวังว่ามันจะเพียงพอ


# iptables -L -v --line-numbers

ผลลัพธ์:

Chain INPUT (นโยบาย DROP 8242 แพ็คเก็ต, 735K ไบต์)
num pkts bytes target prot เลือกใช้ปลายทางต้นทาง         
1 0 0 DROP tcp -- ใดๆ ที่ไหนก็ได้ ctstate NEW tcp flags:!FIN,SYN,RST,ACK/SYN /* protection: non-syn packets */
2 10 452 DROP ทั้งหมด -- ใดๆ ที่ไหนก็ได้ ctstate INVALID /* การป้องกัน: แพ็กเก็ตที่มีรูปแบบไม่ถูกต้อง */
3 20 1000 ยอมรับทั้งหมด -- ดูที่ไหนก็ได้ทุกที่ /* ย้อนกลับ: บังคับ */
4 3 98 ยอมรับ icmp -- ใดๆ ที่ไหนก็ได้ icmp echo-request limit: เฉลี่ย 2/วินาที ระเบิด 5 /* ICMP: ping เท่านั้น */
5 16625 9388K ยอมรับทั้งหมด -- ใดๆ ทุกที่ ctstate ที่เกี่ยวข้อง ก่อตั้ง /* การจราจร */
6 7 420 ยอมรับ tcp -- ใดๆ ที่ไหนก็ได้ ctstate ใหม่ ก่อตั้ง tcp dpt:xxyyzz /* SSH: global obfuscated */ <-- เซ็นเซอร์
7 438 26080 ยอมรับ tcp -- ใดๆ ที่ไหนก็ได้ tcp dpt:9001 /* Tor: OR */
8 558 30828 ยอมรับ tcp -- ใดๆ ที่ไหนก็ได้ tcp dpt:9030 /* Tor: Dir */

เชน FORWARD (นโยบาย DROP 0 แพ็กเก็ต 0 ไบต์)
num pkts bytes target prot เลือกใช้ปลายทางต้นทาง         

Chain OUTPUT (นโยบายยอมรับแพ็กเก็ต 16969, 6369K ไบต์)
num pkts bytes target prot เลือกใช้ปลายทางต้นทาง         

ฉันต้องการปรับใช้ ล้มเหลว 2 แบนแต่ฉันไม่เคยใช้มัน ดังนั้นฉันจึงหาหลายตัว คู่มือ เพื่อตั้งค่า แต่ฉันเชื่อว่าเราควรมีตัวอย่างในเว็บไซต์นี้ ฉันพบผลลัพธ์มากเกินไปสำหรับ ล้มเหลว 2 แบน เพียงอย่างเดียว แต่ไม่มีอะไรเกี่ยวข้องกับ ล้มเหลว 2 แบน ตั้งค่าเริ่มต้น

หากไม่สามารถทำได้ด้วยเหตุผลใดก็ตาม โปรดแสดงความคิดเห็น แล้วฉันจะลบคำถามนี้ในภายหลัง

ระบบ: Debian GNU/Linux 11 (บูลส์อาย) พร้อม เซิร์ฟเวอร์ opensh สำหรับบริการ ssh

ขอบคุณล่วงหน้า!

PS: อพยพมาจาก https://security.stackexchange.com/

Score:1
ธง us

การติดตั้ง f2b บน deb นั้นค่อนข้างง่าย ฉันเคยเขียนเกี่ยวกับโพสต์ก่อนหน้านี้ (https://dev.slickalpha.blog/2019/11/installing-lemp-stack-on-debian-buster.html#sv-fail2ban).

ก่อนอื่นคุณติดตั้ง f2b

ฉลาดในการติดตั้ง fail2ban -y

คัดลอกการกำหนดค่าไปที่โลคัล

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

และทำการแก้ไขไฟล์ในเครื่อง

นาโน /etc/fail2ban/jail.local

อัปเดตค่าเริ่มต้น (พอร์ต 22 เปิดใช้งานล่วงหน้าบน f2b)

[ค่าเริ่มต้น]
...
#ตัวเลือกเบ็ดเตล็ด...
แบนไทม์ = 86400
หาเวลา = 86400
สูงสุด = 2`

รีสตาร์ท f2b

/etc/init.d/fail2ban รีสตาร์ท

ตรวจสอบสถานะของ sshd 22

sshd สถานะไคลเอ็นต์ของ Failed2ban

นอกเหนือจากนี้ การใช้คีย์กับข้อความรหัสผ่านก็เพียงพอแล้ว คุณสามารถปรับแต่ง f2b ได้เสมอ

อัปเดต:

โดยทั่วไป Fail2ban จะตรวจสอบบันทึกสำหรับ IP โดยใช้ตัวกรอง regex และบล็อก IP ที่ตรงกันโดยใช้ iptables

เพื่อแสดงรายการคุกที่เปิดใช้งาน (ตัวกรอง regex สำหรับบริการใน f2b)

สถานะไคลเอนต์ไม่ผ่าน 2 แบน

เพื่อปกป้องพอร์ตหรือบริการที่กำหนดเอง

ตรวจสอบว่ามีตัวกรอง regex สำหรับบริการนั้นอยู่หรือไม่

ls /etc/fail2ban/filter.d

หากมีอยู่ให้พูด คุก-name.confเพียงเปิดใช้งานบนไฟล์ f2b ในเครื่อง

นาโน /etc/fail2ban/jail.local

ภายใต้ไวยากรณ์

[ชื่อคุก]
..ตัวเลือก..

สมมติว่าถ้าไม่ได้เปิดใช้งาน sshd ให้เพิ่ม เปิดใช้งาน = จริง ไปที่คุก sshd

[sshd]
เปิดใช้งาน = จริง
....

เพื่อทดสอบคุกกับบันทึกของคุณและอัปเดต regex หากขาดหายไป

fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf

หากไม่มีคุกสำหรับบริการหรือพอร์ต ให้ตรวจสอบออนไลน์เพื่อหาตัวกรองเหล่านั้น และเพิ่มตัวกรองเหล่านั้นเข้าไป /etc/fail2ban/filter.d และเปิดใช้งานในไฟล์ปรับแต่งในเครื่อง

Ajay Singh avatar
us flag
พอร์ตใดที่คุณใช้อยู่ และเป็นพอร์ตแบบกำหนดเองสำหรับทอร์หรือไม่
Ajay Singh avatar
us flag
ฉันได้อัปเดตโพสต์สำหรับพอร์ตและบริการที่กำหนดเองแล้ว คุณยังสามารถจำกัดพอร์ตได้โดยตรงโดยใช้ iptables (ตามที่กล่าวไว้ในโพสต์ที่เชื่อมโยง) และเฝ้าดูบันทึกของบริการที่คุณใช้และเพิ่มคำขอโจมตีเพื่อ Failed2ban

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา