Як захистити SSH за допомогою Fail2Ban на Rocky Linux 9
Вступ
SSH (Secure Shell) – це протокол, який використовується для безпечного доступу до віддалених серверів. Однак, SSH-сервери часто стають мішенню для злочинних атак, таких як брутфорс (brute-force) атаки, які намагаються підібрати паролі. Щоб захистити ваш SSH-сервер від таких загроз, ви можете використовувати Fail2Ban.
Fail2Ban – це безкоштовна та відкрита система, яка моніторить ваші серверні журнали та блокує IP-адреси, які здійснюють підозрілу активність.
Переваги використання Fail2Ban:
* Захист від брутфорс атак: Fail2Ban може виявити та заблокувати IP-адреси, які неодноразово намагаються підібрати паролі для SSH.
* Розширена конфігурація: Fail2Ban надає гнучкі можливості конфігурації, що дозволяє вам налаштувати його для захисту від різних видів атак.
* Просте у використанні: Fail2Ban легкий у налаштуванні та використанні завдяки інтуїтивному інтерфейсу.
Інсталяція Fail2Ban на Rocky Linux 9
1. Оновлення системи:
bash
sudo dnf update
2. Інсталяція Fail2ban:
bash
sudo dnf install fail2ban
3. Запуск Fail2ban:
bash
sudo systemctl enable fail2ban
sudo systemctl start fail2ban
Налаштування Fail2Ban for SSH
За замовчуванням Fail2Ban вже налаштований для захисту SSH. Однак, ви можете налаштувати його далі для більш ефективного захисту.
1. Відкриття файлу конфігурації:
bash
sudo nano /etc/fail2ban/jail.local
2. Редагування конфігурації:
a. Зміна налаштувань для SSH:
Ви можете змінити параметр findtime
(час, протягом якого Fail2Ban слід відстежувати підозрілу активність) та maxretry
(кількість спроб входу, після якої IP-адреса буде заблокована) для SSH:
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/secure
findtime = 600
maxretry = 5
b. Додавання нових фільтрів:
Ви можете додати нові фільтри для інших типів атак, таких як злому веб-сайтів, або змін налаштувань системного файлу.
c. Додавання нових джейлів:
Ви можете додати нові джейли для блокування IP-адрес з інших джерел, крім SSH.
3. Збереження змін:
Після внесення змін збережіть файл конфігурації та перезавантажте Fail2ban:
bash
sudo systemctl restart fail2ban
Перевірка функціональності Fail2ban
Щоб перевірити, чи Fail2ban працює належним чином, спробуйте підключитися до SSH-сервера з IP-адреси, яка вже заблокована Fail2ban. Якщо IP-адреса заблокована, ви не зможете підключитися до сервера.
Додаткові можливості Fail2ban
* Логі
Fail2ban веде журнали про блокування IP-адрес. Ви можете переглянути ці журнали, щоб дізнатися більше про те, як Fail2ban працює.
* Виключення
Ви можете додати виключення для певних IP-адрес, щоб вони не блокувалися Fail2ban. Це може бути корисно для IP-адрес, які часто підключаються до вашого сервера, або для IP-адрес, які використовуються для вашого бізнесу.
* Розширення
Fail2ban можна розширити за допомогою модулів. Модулі можуть додавати нові функції, такі як підтримка нових протоколів або нових типів атак.
Висновок
Fail2ban – це потужний інструмент для захисту SSH-серверів від атак. Він простий у використанні, гнучкий та ефективний. Якщо ви не використовуєте Fail2ban для захисту свого SSH-сервера, я настійно рекомендую вам спробувати його.
FAQ
1. Як я можу перевірити, чи Fail2ban працює?
Ви можете перевірити, чи Fail2ban працює, спробувавши підключитися до SSH-сервера з IP-адреси, яка вже заблокована Fail2ban. Якщо IP-адреса заблокована, ви не зможете підключитися до сервера.
2. Як я можу розблокувати IP-адресу, заблоковану Fail2ban?
Ви можете розблокувати IP-адресу, заблоковану Fail2ban, за допомогою команди fail2ban-client set sshd unbanip [IP-адреса]
.
3. Чи можу я використовувати Fail2ban для захисту інших сервісів, крім SSH?
Так, Fail2ban можна використовувати для захисту будь-якого сервісу, який веде журнали. Ви можете налаштувати Fail2ban для захисту веб-серверів, SMTP-серверів, FTP-серверів та інших.
4. Чи можу я використовувати Fail2ban на віртуальних машинах?
Так, Fail2ban можна використовувати на віртуальних машинах. Однак, ви повинні переконатися, що Fail2ban має доступ до журналів сервера.
5. Чи можу я налаштувати Fail2ban для блокування IP-адрес з певних країн?
Так, ви можете налаштувати Fail2ban для блокування IP-адрес з певних країн за допомогою фільтра country
.
6. Чи можу я використовувати Fail2ban на Windows-серверах?
Ні, Fail2ban доступний лише для Linux-систем.
7. Чи можу я використовувати Fail2ban для захисту від DDoS-атак?
Fail2ban не є спеціальним інструментом для захисту від DDoS-атак. Однак, він може допомогти зменшити кількість DDoS-трафіку, блокуючи IP-адреси, які здійснюють підозрілу активність.
8. Чи можу я використовувати Fail2ban для блокування ботів?
Так, Fail2ban може допомогти вам блокувати ботів, які намагаються здійснити несанкціоновані дії на вашому сервері.
9. Як я можу оновити Fail2ban?
Ви можете оновити Fail2ban за допомогою команди sudo dnf update
.
10. Чи є у Fail2ban візуальний інтерфейс користувача?
Ні, Fail2ban не має візуального інтерфейсу користувача. Офіційний сайт Fail2Ban предоставляє інформацію про налаштування та використання програми.