Wie installiere und konfiguriere ich Fail2ban 0.9.3-1 unter Ubuntu 16.04? Irgendein Führer für Anfänger?

1483
Knowledge Knight

So einfach wie die Frage klingt, aber im Internet ist das nichts, was mir hier helfen würde. Kennt jemand eine gute Ressource zu diesem Thema? Oder möchte vielleicht jemand den Prozess hier beschreiben? Ich habe das Gefühl, dass dies aufgrund des Mangels an Informationen viel einfacher ist als das, was ich durchmache.

Ich als Anfänger, zusammen mit vielen anderen, denke ich, wäre an bestimmten Schritten interessiert, die ich ergreifen sollte, um + bestimmte JAILS zu installieren und zu konfigurieren, die ich hätte, und außerdem frage ich mich, warum ich nicht alle Gefängnisse aktiviere, dies kann meinen Server irgendwie beschädigen ?

Vielen Dank an alle, die sich die Zeit nehmen, mir hier zu helfen!

1
Ich benutze dieses Tutorial (unten empfohlen) https://www.linode.com/docs/security/using-fail2ban-for-security. Aber jedenfalls ist es nicht gut genug für jeden Schritt. Jemand, etwas Besseres Knowledge Knight vor 7 Jahren 0

2 Antworten auf die Frage

1
Darren

Dies scheint eine gute Anleitung zu sein (es ist in meinem Browserverlauf, ich gehe davon aus, dass ich es in der Vergangenheit verwendet habe).

Fail2ban ist eigentlich ganz unkompliziert. Es stellt meistens sicher, dass Sie Ihr LAN-Netzwerk auf die Positivliste setzen (damit Sie sich nicht selbst aussperren), was immer Sie für die eingebauten Jails benötigen, und die Verbotszeit und die Anzahl der Wiederholungen optimieren. Es ist ziemlich unbedeutend, eigene Gefängnisse zu schreiben, aber die eingebauten werden Sie für 90% der Anwendungsfälle abdecken.

Whitelist die Adresse eines Rechners, von dem aus Sie wahrscheinlich eine Verbindung herstellen. Wenn Sie sich also im selben Netzwerk befinden und Ihr Server 192.168.1.1 und Ihr PC 192.168.1.2 ist, können Sie das gesamte 192.168.1.0-Subnetz mit der Schreibweise 192.168.1.0/24 auf die Positivliste setzen. Wenn Sie sich remote anmelden und eine statische IP-Adresse zu Hause / am Arbeitsplatz haben, geben Sie diese IP-Adresse auf der Whitelist an. Wenn Sie sich in einer dynamischen Verbindung befinden, möchten Sie möglicherweise das gesamte Subnetz Ihres ISP in die Positivliste aufnehmen, dies wird jedoch nicht empfohlen.

LANs Netzwerk-IP ist diese: 127.0.0.1? Sollte ich auch die IP-Adresse des Servers auf der Whitelist setzen? Knowledge Knight vor 7 Jahren 0
@KnowledgeKnight Nein, das ist die Loopback-Adresse. Woher bekommst du das? Es ist unmöglich, dass dies Ihre LAN-Netzwerk-IP ist. Es ist höchstwahrscheinlich etwas wie 192.168.0.0. Darren vor 7 Jahren 0
Ist die LAN-Netzwerk-IP mit der des Webservers identisch? Wie zum Beispiel das, mit dem ich mich beim root anmelde (ssh root@198.34.12.56)? Wenn nicht, wie erfahre ich die LAN-IP meines Servers? Knowledge Knight vor 7 Jahren 0
Ich kam dabei unter der Annahme, dass Ihr Server lokal ist, ist er remote (wie in einer Cloud gehostet oder so)? Grundsätzlich sollten Sie die Adresse jedes Rechners auflisten, von dem aus Sie wahrscheinlich eine Verbindung herstellen. Wenn Sie sich also im selben Netzwerk befinden und Ihr Server 192.168.1.1 und Ihr PC 192.168.1.2 ist, können Sie das gesamte 192.168.1.0-Subnetz mit der Schreibweise 192.168.1.0/24 auf die Positivliste setzen. Wenn Sie sich remote anmelden und eine statische IP-Adresse zu Hause / am Arbeitsplatz haben, geben Sie diese IP-Adresse auf der Whitelist an. Wenn Sie sich in einer dynamischen Verbindung befinden, möchten Sie möglicherweise das gesamte Subnetz Ihres ISP in die Whitelist aufnehmen, dies wird jedoch nicht empfohlen. Darren vor 7 Jahren 0
Ja, es wird in der Cloud gehostet und hat eine eigene statische IP-Adresse sowie eine völlig andere IP-Adresse. Soll ich beide auf die Whitelist setzen? Obwohl ich die Logik des Whitelists nicht sehe, ist es ihre eigene IP. Als ob es nicht von selbst aus und wieder rein geht, um die Firewall passieren zu müssen. Ich könnte falsch sein, ich fange gerade damit an. Vielen Dank, Darren! Knowledge Knight vor 7 Jahren 0
Ja, wahrscheinlich ist es nicht nötig, eine eigene Adresse auf die Whitelist zu setzen. Darren vor 7 Jahren 0
0
iwaseatenbyagrue

Der Vorgang ist wirklich unkompliziert, aber als Jails, die nach nicht vorhandenen Protokollquellen (z. B. Dateien) suchen, kann dies dazu führen, dass fail2ban nicht gestartet wird.

Ich kenne die Details zu Ubuntu nicht, aber für Centos würde ich Folgendes tun:

  • wähle meine Firewall aus (was letztendlich eine Firewall sein würde, da dies der Standard von CentOS7 ist)
  • Installieren Sie fail2ban und die korrekten Firewall-Bindungen
  • Starten Sie fail2ban und stellen Sie sicher, dass es funktioniert (standardmäßig ist das SSH-Jail aktiv).
  • Überlegen Sie, was Sie als nächstes brauchen

Eine Sache, die Sie in Betracht ziehen könnten, ist die Erweiterung des Blocks, der durch das SSH-Gefängnis eingerichtet wurde, um alle anstößigen Quellen vollständig zu blockieren (dh, es wird nicht nur der Port 22, sondern der gesamte Datenverkehr blockiert).

Wenn Sie andere Gefängnisse und / oder Filter benötigen, würde ich Folgendes tun:

  • Verwenden Sie /etc/fail2ban/jail.d, um meine Jail-Konfigurationen zu speichern, um sicherzustellen, dass ich alles entfernen kann, was Probleme verursacht, ohne eine große Konfigurationsdatei durchgehen zu müssen
  • Stellen Sie sicher, dass Sie neue Jails testen, insbesondere, indem Sie sie zunächst nicht für SSH verwenden und sicherstellen, dass sie nur für die Dienste gelten, deren Protokolle das Jail überwacht.

Ich habe ein kleines Beispiel für ansible online, siehe https://github.com/iwaseatenbyagrue/ansible/blob/master/roles/fail2ban/tasks/suricata.yml und https://github.com/iwaseatenbyagrue/ansible/blob/ Master / Rollen / fail2ban / templates / (zB https://github.com/iwaseatenbyagrue/ansible/blob/master/roles/fail2ban/templates/jail.suricata.j2 )

Der Gesamtcode ist noch nicht unbedingt die Form eines Schiffs, daher kann ich nicht empfehlen, dass Sie ihn verwenden (zumindest nicht, ohne 100% sicher zu sein, dass Sie alles verstehen), aber hoffentlich sind diese Schnipsel von Nutzen.

Verwandte Probleme