Ero sivun ”Fail2ban” versioiden välillä
(22 välissä olevaa versiota 2 käyttäjän tekeminä ei näytetä) | |||
Rivi 1: | Rivi 1: | ||
− | Fail2ban | + | <languages/> |
+ | <translate> | ||
+ | <!--T:1--> | ||
+ | Fail2ban auttaa suojaamaan yhdestä IP-osoitteesta tulevia [http://en.wikipedia.org/wiki/Brute-force_attack brute force] hyökkäyksiä seuraamalla lokitiedostoja palvelimella. Tällä voi estää mm. tietyn kirjautumisyritysten määrän jälkeiset kirjautumiset. | ||
+ | <!--T:2--> | ||
+ | Fail2baniin saa suodattimia mm. [[Apache2|Apache]], [[Dovecot]], [[Postfix]] ja [[Ssh|SSH]]. | ||
− | + | <!--T:3--> | |
+ | Fail2banin ongelmana on ettei siinä ole tukea IPv6 osoitteille eikä jaetuille [http://en.wikipedia.org/wiki/Brute-force_attack brute force] hyökkäyksille. | ||
− | |||
+ | == Asentaminen == <!--T:4--> | ||
+ | |||
+ | === Debian / Ubuntu === <!--T:5--> | ||
+ | |||
+ | <!--T:6--> | ||
+ | [[aptitude]] install fail2ban | ||
+ | |||
+ | <!--T:7--> | ||
TAI | TAI | ||
− | apt-get install fail2ban | + | <!--T:8--> |
+ | [[apt-get]] install fail2ban | ||
− | == Konfigurointi == | + | == Konfigurointi == <!--T:14--> |
− | + | <!--T:15--> | |
+ | Avataan /etc/fail2ban/jail.conf | ||
− | nano /etc/fail2ban/jail.conf | + | <!--T:16--> |
+ | [[nano]] /etc/fail2ban/jail.conf | ||
− | + | <!--T:17--> | |
+ | Oletusasetuksia: | ||
− | '''ignoreip''' = IP-osoitteita jotka | + | <!--T:18--> |
+ | '''ignoreip''' = IP-osoitteita jotka ohittavat suodattimet | ||
− | '''bantime''' = Aika, kuinka kauan säilytetään estolistalla, oletuksena 600 | + | <!--T:19--> |
+ | '''bantime''' = Aika, kuinka kauan osoitetta säilytetään estolistalla, oletuksena 600 sekuntia | ||
− | '''findtime''' = | + | <!--T:20--> |
+ | '''findtime''' = Estää Ip-osoitteen jos tämän ajan sisällä on epäonnistunut kirjautumisessa kolme kertaa | ||
− | '''maxretry''' = Kuinka monta yritystä, ennen kuin estetään | + | <!--T:21--> |
+ | '''maxretry''' = Kuinka monta yritystä, ennen kuin osoite estetään | ||
+ | <!--T:22--> | ||
Esimerkki konfiguroinnista: | Esimerkki konfiguroinnista: | ||
+ | <!--T:23--> | ||
[DEFAULT] | [DEFAULT] | ||
− | # "ignoreip" can be an IP address, a CIDR mask or a DNS host | + | <!--T:24--> |
+ | # "ignoreip" can be an IP address, a CIDR mask or a DNS host | ||
ignoreip = 127.0.0.1 192.168.1.1 | ignoreip = 127.0.0.1 192.168.1.1 | ||
bantime = 600 | bantime = 600 | ||
Rivi 41: | Rivi 65: | ||
− | Eli jätetään estolistan ulkopuolelle IP-osoitteet 192.168.1.1 ja | + | <!--T:25--> |
+ | Eli jätetään estolistan ulkopuolelle IP-osoitteet 192.168.1.1 ja 127.0.0.1 (=localhost). Enintään 3 yritystä sallitaan ja jos ylittyy niin pistetään 600 sekunniksi estolistalle. | ||
+ | |||
+ | <!--T:26--> | ||
+ | Ja lisäksi SSH:n konfiguraatiot: | ||
+ | |||
+ | <!--T:27--> | ||
+ | [ssh] # fail2ban-ssh = Suodattimen nimi | ||
+ | |||
+ | enabled = true # Onko siis suodatin käytössä? Vaihtoehtona true ja false. | ||
+ | port = ssh # Portti missä on, voi olla siis ssh tai portti numero esim. 22 | ||
+ | filter = sshd # Suodattimen tyyppi. Suodattimet löytyy /etc/fail2ban/filter.d/ hakemistosta. | ||
+ | logpath = /var/log/auth.log # Lokien sijainti | ||
+ | maxretry = 6 # Kuinka monta yritystä sallitaan | ||
+ | |||
+ | <!--T:28--> | ||
+ | Seuraavassa esimerkit konfiguraatiosta: | ||
+ | |||
+ | === Apache === <!--T:29--> | ||
+ | |||
+ | <!--T:30--> | ||
+ | [apache] | ||
+ | |||
+ | enabled = true | ||
+ | port = http,https | ||
+ | filter = apache-auth | ||
+ | logpath = /var/log/apache*/*error.log | ||
+ | maxretry = 6 | ||
+ | |||
+ | <!--T:31--> | ||
+ | # default action is now multiport, so apache-multiport jail was left | ||
+ | # for compatibility with previous (<0.7.6-2) releases | ||
+ | [apache-multiport] | ||
+ | |||
+ | enabled = true | ||
+ | port = http,https | ||
+ | filter = apache-auth | ||
+ | logpath = /var/log/apache*/*error.log | ||
+ | maxretry = 6 | ||
+ | |||
+ | <!--T:32--> | ||
+ | [apache-noscript] | ||
+ | |||
+ | enabled = true | ||
+ | port = http,https | ||
+ | filter = apache-noscript | ||
+ | logpath = /var/log/apache*/*error.log | ||
+ | maxretry = 6 | ||
+ | |||
+ | <!--T:33--> | ||
+ | [apache-overflows] | ||
+ | |||
+ | enabled = true | ||
+ | port = http,https | ||
+ | filter = apache-overflows | ||
+ | logpath = /var/log/apache*/*error.log | ||
+ | maxretry = 2 | ||
+ | |||
− | + | === SSH === <!--T:34--> | |
− | [ssh] | + | <!--T:35--> |
+ | [ssh] | ||
− | enabled = true | + | <!--T:36--> |
+ | enabled = true | ||
port = ssh | port = ssh | ||
filter = sshd | filter = sshd | ||
Rivi 53: | Rivi 136: | ||
maxretry = 6 | maxretry = 6 | ||
+ | <!--T:37--> | ||
Oletuksena SSH sallii 6 yritystä muodostaessa yhteyttä, suositus on 3 yritystä. | Oletuksena SSH sallii 6 yritystä muodostaessa yhteyttä, suositus on 3 yritystä. | ||
+ | <!--T:38--> | ||
'''port = ssh''' pitää muuttaa jos olet muuttanut SSH:n oletusporttia /etc/ssh/sshd.config tiedostosta. | '''port = ssh''' pitää muuttaa jos olet muuttanut SSH:n oletusporttia /etc/ssh/sshd.config tiedostosta. | ||
+ | === Proftpd === <!--T:39--> | ||
+ | <!--T:40--> | ||
+ | [proftpd] | ||
− | + | <!--T:41--> | |
+ | enabled = true | ||
+ | port = ftp,ftp-data,ftps,ftps-data | ||
+ | filter = proftpd | ||
+ | logpath = /var/log/proftpd/proftpd.log | ||
+ | maxretry = 3 | ||
− | + | === Postfix === <!--T:42--> | |
− | == | + | <!--T:43--> |
+ | [postfix] | ||
+ | |||
+ | enabled = true | ||
+ | port = smtp,ssmtp | ||
+ | filter = postfix | ||
+ | logpath = /var/log/mail.log | ||
+ | <!--T:44--> | ||
+ | [sasl] | ||
+ | |||
+ | enabled = true | ||
+ | port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s | ||
+ | filter = sasl | ||
+ | # You might consider monitoring /var/log/mail.warn instead if you are | ||
+ | # running postfix since it would provide the same log lines at the | ||
+ | # "warn" level but overall at the smaller filesize. | ||
+ | logpath = /var/log/mail.log | ||
+ | |||
+ | <!--T:45--> | ||
+ | [dovecot] | ||
+ | |||
+ | enabled = true | ||
+ | port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s | ||
+ | filter = dovecot | ||
+ | logpath = /var/log/mail.log | ||
+ | |||
+ | == Lokitiedosto== <!--T:46--> | ||
+ | |||
+ | <!--T:47--> | ||
Fail2ban tarkistaa estolistan fail2ban lokista, joka on polussa /var/log/fail2ban.log | Fail2ban tarkistaa estolistan fail2ban lokista, joka on polussa /var/log/fail2ban.log | ||
− | nano /var/log/fail2ban.log | + | <!--T:48--> |
+ | nano /var/log/fail2ban.log | ||
+ | <!--T:49--> | ||
Tiedostossa näkyy kaikki lokit ja yritykset muodostaessa yhteyttä palvelimeen. | Tiedostossa näkyy kaikki lokit ja yritykset muodostaessa yhteyttä palvelimeen. | ||
− | + | <!--T:50--> | |
+ | Esimerkkiloki: | ||
− | 2014-05-13 15:52:30,388 fail2ban.actions: WARNING [sendmail] Ban XXX.66.82.116 | + | <!--T:51--> |
+ | 2014-05-13 15:52:30,388 fail2ban.actions: WARNING [sendmail] Ban XXX.66.82.116 | ||
2014-05-13 15:59:29,295 fail2ban.actions: WARNING [sendmail] Ban XXX.27.118.100 | 2014-05-13 15:59:29,295 fail2ban.actions: WARNING [sendmail] Ban XXX.27.118.100 | ||
2014-05-13 16:07:31,183 fail2ban.actions: WARNING [sendmail] Unban XXX.66.82.116 | 2014-05-13 16:07:31,183 fail2ban.actions: WARNING [sendmail] Unban XXX.66.82.116 | ||
Rivi 83: | Rivi 208: | ||
2014-05-13 17:11:27,833 fail2ban.actions: WARNING [ssh] Unban XXX.136.60.164 | 2014-05-13 17:11:27,833 fail2ban.actions: WARNING [ssh] Unban XXX.136.60.164 | ||
− | == | + | == Aiheeseen liittyvää == <!--T:52--> |
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | + | <!--T:53--> | |
+ | [[Iptables]] | ||
− | + | == Lisätietoa == <!--T:54--> | |
− | + | <!--T:55--> | |
− | + | https://www.omaserveri.info/suojaa-ssh-yhteytesi-brute-force-hyokkayksilta/ | |
− | |||
− | + | http://johnny.chadda.se/using-fail2ban-with-nginx-and-ufw/ | |
− | + | == Lähteet == <!--T:56--> | |
− | |||
− | |||
− | |||
− | |||
− | + | <!--T:57--> | |
+ | https://www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-fail2ban-on-centos-6 | ||
− | |||
− | + | </translate> | |
− | + | [[Category:Linux]] |
Nykyinen versio 30. heinäkuuta 2018 kello 13.38
Fail2ban auttaa suojaamaan yhdestä IP-osoitteesta tulevia brute force hyökkäyksiä seuraamalla lokitiedostoja palvelimella. Tällä voi estää mm. tietyn kirjautumisyritysten määrän jälkeiset kirjautumiset.
Fail2baniin saa suodattimia mm. Apache, Dovecot, Postfix ja SSH.
Fail2banin ongelmana on ettei siinä ole tukea IPv6 osoitteille eikä jaetuille brute force hyökkäyksille.
Sisällysluettelo
Asentaminen
Debian / Ubuntu
aptitude install fail2ban
TAI
apt-get install fail2ban
Konfigurointi
Avataan /etc/fail2ban/jail.conf
nano /etc/fail2ban/jail.conf
Oletusasetuksia:
ignoreip = IP-osoitteita jotka ohittavat suodattimet
bantime = Aika, kuinka kauan osoitetta säilytetään estolistalla, oletuksena 600 sekuntia
findtime = Estää Ip-osoitteen jos tämän ajan sisällä on epäonnistunut kirjautumisessa kolme kertaa
maxretry = Kuinka monta yritystä, ennen kuin osoite estetään
Esimerkki konfiguroinnista:
[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host ignoreip = 127.0.0.1 192.168.1.1 bantime = 600 maxretry = 3 # "backend" specifies the backend used to get files modification. Available # options are "gamin", "polling" and "auto
Eli jätetään estolistan ulkopuolelle IP-osoitteet 192.168.1.1 ja 127.0.0.1 (=localhost). Enintään 3 yritystä sallitaan ja jos ylittyy niin pistetään 600 sekunniksi estolistalle.
Ja lisäksi SSH:n konfiguraatiot:
[ssh] # fail2ban-ssh = Suodattimen nimi enabled = true # Onko siis suodatin käytössä? Vaihtoehtona true ja false. port = ssh # Portti missä on, voi olla siis ssh tai portti numero esim. 22 filter = sshd # Suodattimen tyyppi. Suodattimet löytyy /etc/fail2ban/filter.d/ hakemistosta. logpath = /var/log/auth.log # Lokien sijainti maxretry = 6 # Kuinka monta yritystä sallitaan
Seuraavassa esimerkit konfiguraatiosta:
Apache
[apache] enabled = true port = http,https filter = apache-auth logpath = /var/log/apache*/*error.log maxretry = 6
# default action is now multiport, so apache-multiport jail was left # for compatibility with previous (<0.7.6-2) releases [apache-multiport] enabled = true port = http,https filter = apache-auth logpath = /var/log/apache*/*error.log maxretry = 6
[apache-noscript] enabled = true port = http,https filter = apache-noscript logpath = /var/log/apache*/*error.log maxretry = 6
[apache-overflows] enabled = true port = http,https filter = apache-overflows logpath = /var/log/apache*/*error.log maxretry = 2
SSH
[ssh]
enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 6
Oletuksena SSH sallii 6 yritystä muodostaessa yhteyttä, suositus on 3 yritystä.
port = ssh pitää muuttaa jos olet muuttanut SSH:n oletusporttia /etc/ssh/sshd.config tiedostosta.
Proftpd
[proftpd]
enabled = true port = ftp,ftp-data,ftps,ftps-data filter = proftpd logpath = /var/log/proftpd/proftpd.log maxretry = 3
Postfix
[postfix] enabled = true port = smtp,ssmtp filter = postfix logpath = /var/log/mail.log
[sasl] enabled = true port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s filter = sasl # You might consider monitoring /var/log/mail.warn instead if you are # running postfix since it would provide the same log lines at the # "warn" level but overall at the smaller filesize. logpath = /var/log/mail.log
[dovecot] enabled = true port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s filter = dovecot logpath = /var/log/mail.log
Lokitiedosto
Fail2ban tarkistaa estolistan fail2ban lokista, joka on polussa /var/log/fail2ban.log
nano /var/log/fail2ban.log
Tiedostossa näkyy kaikki lokit ja yritykset muodostaessa yhteyttä palvelimeen.
Esimerkkiloki:
2014-05-13 15:52:30,388 fail2ban.actions: WARNING [sendmail] Ban XXX.66.82.116 2014-05-13 15:59:29,295 fail2ban.actions: WARNING [sendmail] Ban XXX.27.118.100 2014-05-13 16:07:31,183 fail2ban.actions: WARNING [sendmail] Unban XXX.66.82.116 2014-05-13 16:14:29,530 fail2ban.actions: WARNING [sendmail] Unban XXX.27.118.100 2014-05-13 16:56:27,086 fail2ban.actions: WARNING [ssh] Ban XXX.136.60.164 2014-05-13 17:11:27,833 fail2ban.actions: WARNING [ssh] Unban XXX.136.60.164
Aiheeseen liittyvää
Lisätietoa
https://www.omaserveri.info/suojaa-ssh-yhteytesi-brute-force-hyokkayksilta/
http://johnny.chadda.se/using-fail2ban-with-nginx-and-ufw/
Lähteet
https://www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-fail2ban-on-centos-6