Заштита SSH-а са Fail2Ban-ом на Rocky Linux 9

Заштита SSH сервера уз помоћ Fail2Ban-a на Rocky Linux 9

Заштита ССХ сервера је од суштинског значаја за обезбеђивање безбедности вашег система. Неауторизовани приступ преко ССХ-а може довести до компромитације система и крађе података. Да бисте заштитили свој ССХ сервер од таквих напада, неопходно је имплементирати робусне мере безбедности.

Једна од ефикасних метода заштите ССХ-а је коришћење Fail2Ban-а. Fail2Ban је популаран софтверски алат отвореног кода који надгледа лог датотеке система и аутоматски блокира ИП адресе које показују сумњиву активност.

У овом чланку ћемо вас водити кроз детаљан процес инсталације и конфигурисања Fail2Ban-а на Rocky Linux 9. Такође ћемо објаснити како креирати прилагођена правила за заштиту вашег ССХ сервера од специфичних напада.

Инсталација Fail2Ban-а

1. Ажурирајте свој систем:


sudo dnf update

2. Инсталирајте Fail2Ban:


sudo dnf install fail2ban

3. Покрените Fail2Ban сервис:


sudo systemctl start fail2ban

4. Омогућите Fail2Ban сервис да се аутоматски покреће приликом поновног покретања система:


sudo systemctl enable fail2ban

Конфигурисање Fail2Ban-а

1. Отворите Фаил2бан конфигурациону датотеку:


sudo nano /etc/fail2ban/jail.conf

2. Унесите следеће измене у датотеци:


[DEFAULT]
ignoreip = 127.0.0.1/8
bantime = 86400

време трајања бановања (у секундама)

findtime = 600

време трајања прозора проналажења (у секундама)

maxretry = 3

максимални број неуспелих покушаја пријаве пре него што се забрани ИП адреса

3. Сачувајте датотеку и затворите је.

Конфигурисање ССХ заједнице

1. Отворите конфигурациону датотеку ССХ заједнице:


sudo nano /etc/fail2ban/jail.d/sshd.conf

2. Унесите следеће измене у датотеци:


[sshd]
enabled = true
port = ssh

порт на коме слуша ССХ сервер

filter = sshd
logpath = /var/log/secure
maxretry = 3

3. Сачувајте датотеку и затворите је.

Креирање прилагођених правила

Поред подразумеваних правила која долазе са Fail2Ban-ом, можете креирати прилагођена правила за заштиту од специфичних напада. На пример, можете креирати правило за блокирање ИП адреса које приступају вашој веб страници више од одређеног броја пута у кратком временском периоду.

Да бисте креирали прилагођено правило, урадите следеће:

1. Отворите датотеку прилагођених правила:


sudo nano /etc/fail2ban/jail.local

2. Унесите следећи блок кода у датотеку:


[<име заједнице>]
enabled = true
port = <портни број>
filter = <назив филтера>
logpath = <пуња до лог датотеке>
maxretry = <максимални број неуспелих покушаја>

3. Замените <име заједнице>, <портни број>, <назив филтера>, <пуња до лог датотеке> и <максимални број неуспелих покушаја> одговарајућим вредностима за ваше правило.

4. Сачувајте датотеку и затворите је.

Провера Fail2Ban-а

Након што конфигуришете Fail2Ban, можете да га проверите да бисте се уверили да правилно функционише. Да бисте то урадили, можете да издате следећу команду:


sudo fail2ban-client status

Ова команда ће вам дати листу тренутно забрањених ИП адреса.

Закључак

Имплементација Fail2Ban-а на Rocky Linux 9 је ефикасан начин за заштиту ССХ сервера од неауторизованог приступа и напада. Следећи водич корак по корак и конфигуришући Fail2Ban како је описано у овом чланку, можете значајно повећати безбедност вашег система.

Осим Fail2Ban-а, постоје и друге мере које можете предузети да заштитите свој ССХ сервер, као што су:

* Коришћење јаких лозинки
* Омогућавање двофакторске аутентификације
* Блокирање приступа ССХ-у са непоузданих извора
* Смањење броја дозвољених неуспелих покушаја пријаве
* Редовно ажурирање софтвера

Имплементирањем ових мера можете да креирате робусну и сигурну ССХ инфраструктуру која ће заштитити ваше системе од компромитације.

Често постављана питања (FAQs)

1. Шта су предности коришћења Fail2Ban-а?

Fail2Ban нуди бројне предности, укључујући:

* Аутоматско блокирање ИП адреса које показују сумњиву активност
* Заштита од напада грубом силом
* Смањење ризика од преузимања система
* Лака конфигурација и управљање

2. Која правила су укључена у подразумевану конфигурацију Fail2Ban-а?

Подразумевана конфигурација Fail2Ban-а укључује правила за заштиту следећих сервиса:

* SSH
* FTP
* HTTP
* SMTP

3. Како могу да креирам прилагођена правила у Fail2Ban-у?

Да бисте креирали прилагођена правила у Fail2Ban-у, креирајте датотеку у директоријуму /etc/fail2ban/jail.d/. Садржај датотеке треба да прати исти формат као и подразумеване конфигурационе датотеке.

4. Како да проверим да ли Fail2Ban правилно функционише?

Да бисте проверили да ли Fail2Ban правилно функционише, можете да издате следећу команду:


sudo fail2ban-client status

Ова команда ће вам дати листу тренутно забрањених ИП адреса.

5. Могу ли искључити одређене ИП адресе из блокирања Fail2Ban-а?

Да, можете искључити одређене ИП адресе из блокирања Fail2Ban-а додавањем следећег реда у конфигурациону датотеку /etc/fail2ban/jail.conf:


ignoreip = <ИП адреса коју желите искључити>

6. Како могу да прилагодим време трајања бановања у Fail2Ban-у?

Да бисте прилагодили време трајања бановања у Fail2Ban-у, измените следећу опцију у конфигурационој датотеци /etc/fail2ban/jail.conf:


bantime = <број секунди>

7. Како да прилагодим максимални број неуспелих покушаја пријаве у Fail2Ban-у?

Да бисте прилагодили максимални број неуспелих покушаја пријаве у Fail2Ban-у, измените следећу опцију у конфигурационој датотеци /etc/fail2ban/jail.conf:

`
maxretry =

  Фирме за сајбер безбедност Семгреп и Цоро прикупиле су 53 милиона долара и 80 милиона долара