Mainos / Advertisement:

Ero sivun ”Fail2ban” versioiden välillä

Kohteesta Taisto
Siirry navigaatioon Siirry hakuun
 
(10 välissä olevaa versiota 2 käyttäjän tekeminä ei näytetä)
Rivi 1: Rivi 1:
Fail2ban auttaa suojaamaan yhdestä IP-osoitteesta tulevia [http://en.wikipedia.org/wiki/Brute-force_attack brute force] hyökkäyksiä seuraamalla loki tiedostoja palvelimella. Tällä voi estää mm. tietyn kirjautumisen yritysten jälkeiset kirjautumiset.  
+
<languages/>
 +
<translate>
 +
<!--T:1-->
 +
Fail2ban auttaa suojaamaan yhdestä IP-osoitteesta tulevia [http://en.wikipedia.org/wiki/Brute-force_attack brute force] hyökkäyksiä seuraamalla lokitiedostoja palvelimella. Tällä voi estää mm. tietyn kirjautumisyritysten määrän jälkeiset kirjautumiset.  
  
Failban saa suodattimia mm. [[Apache2|Apache]], [[Dovecot]], [[Postfix]] ja [[Ssh|SSH]].  
+
<!--T:2-->
 +
Fail2baniin saa suodattimia mm. [[Apache2|Apache]], [[Dovecot]], [[Postfix]] ja [[Ssh|SSH]].  
  
Failban ongelmana on ettei ole tuki IPv6 osoitteille ja ei tukea jaetulle [http://en.wikipedia.org/wiki/Brute-force_attack brute force] hyökkäyksille.
+
<!--T:3-->
 +
Fail2banin ongelmana on ettei siinä ole tukea IPv6 osoitteille eikä jaetuille [http://en.wikipedia.org/wiki/Brute-force_attack brute force] hyökkäyksille.
  
  
== Asentaminen ==
+
== Asentaminen == <!--T:4-->
  
=== Debian / Ubuntu ===
+
=== Debian / Ubuntu === <!--T:5-->
  
   [[aptitude]] install fail2ban
+
   <!--T:6-->
 +
[[aptitude]] install fail2ban
  
 +
<!--T:7-->
 
TAI
 
TAI
  
   [[apt-get]] install fail2ban
+
   <!--T:8-->
 +
[[apt-get]] install fail2ban
  
=== CentOS / RHEL ===
+
== Konfigurointi == <!--T:14-->
  
Lataa asennuspaketti
+
<!--T:15-->
 +
Avataan /etc/fail2ban/jail.conf
  
rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
+
  <!--T:16-->
 +
[[nano]] /etc/fail2ban/jail.conf
  
Asennetaan komennolla
+
<!--T:17-->
 +
Oletusasetuksia:
  
  yum install fail2ban
+
<!--T:18-->
 +
'''ignoreip''' = IP-osoitteita jotka ohittavat suodattimet
  
== Konfigurointi ==
+
<!--T:19-->
 +
'''bantime''' = Aika, kuinka kauan osoitetta säilytetään estolistalla, oletuksena 600 sekuntia
  
Avaan /etc/fail2ban/jail.conf
+
<!--T:20-->
 +
'''findtime''' = Estää Ip-osoitteen jos tämän ajan sisällä on epäonnistunut kirjautumisessa kolme kertaa
  
  [[nano]] /etc/fail2ban/jail.conf
+
<!--T:21-->
 
+
'''maxretry''' = Kuinka monta yritystä, ennen kuin osoite estetään
Oletus asetuksia:
 
 
 
'''ignoreip''' = IP-osoitteita jotka ohittava suodattimet
 
 
 
'''bantime''' = Aika, kuinka kauan säilytetään estolistalla, oletuksena 600 sekunttia.
 
 
 
'''findtime''' = Ban Ip-osoite jos tämän ajan sisällä kolme kertaa epäonnistunut
 
 
 
'''maxretry''' = Kuinka monta yritystä, ennen kuin estetään
 
  
  
  
 +
<!--T:22-->
 
Esimerkki konfiguroinnista:
 
Esimerkki konfiguroinnista:
  
 +
<!--T:23-->
 
[DEFAULT]
 
[DEFAULT]
  
   # "ignoreip" can be an IP address, a CIDR mask or a DNS host
+
   <!--T:24-->
 +
# "ignoreip" can be an IP address, a CIDR mask or a DNS host
 
   ignoreip = 127.0.0.1 192.168.1.1
 
   ignoreip = 127.0.0.1 192.168.1.1
 
   bantime  = 600
 
   bantime  = 600
Rivi 57: Rivi 65:
  
  
Eli jätetään estolistan ulkopuolelle IP-osoitteet 192.168.1.1 ja 172.0.0.1 (=localhost). Enintään 3 yritystä sallitaan ja jos ylittyy niin 600 sekunniksi estolistalle.
+
<!--T:25-->
 +
Eli jätetään estolistan ulkopuolelle IP-osoitteet 192.168.1.1 ja 127.0.0.1 (=localhost). Enintään 3 yritystä sallitaan ja jos ylittyy niin pistetään 600 sekunniksi estolistalle.
  
 +
<!--T:26-->
 
Ja lisäksi SSH:n konfiguraatiot:
 
Ja lisäksi SSH:n konfiguraatiot:
  
  [ssh]                                      # fail2ban-ssh = Suodattimen nimi
+
  <!--T:27-->
 +
[ssh]                                      # fail2ban-ssh = Suodattimen nimi
 
    
 
    
 
  enabled  = true                            # Onko siis suodatin käytössä? Vaihtoehtona true ja false.
 
  enabled  = true                            # Onko siis suodatin käytössä? Vaihtoehtona true ja false.
Rivi 69: Rivi 80:
 
  maxretry = 6                              # Kuinka monta yritystä sallitaan
 
  maxretry = 6                              # Kuinka monta yritystä sallitaan
  
 +
<!--T:28-->
 
Seuraavassa esimerkit konfiguraatiosta:
 
Seuraavassa esimerkit konfiguraatiosta:
  
=== Apache ===
+
=== Apache === <!--T:29-->
  
   [apache]
+
   <!--T:30-->
 +
[apache]
 
    
 
    
 
   enabled  = true
 
   enabled  = true
Rivi 81: Rivi 94:
 
   maxretry = 6
 
   maxretry = 6
  
   # default action is now multiport, so apache-multiport jail was left
+
   <!--T:31-->
 +
# default action is now multiport, so apache-multiport jail was left
 
   # for compatibility with previous (<0.7.6-2) releases
 
   # for compatibility with previous (<0.7.6-2) releases
 
   [apache-multiport]
 
   [apache-multiport]
Rivi 91: Rivi 105:
 
   maxretry  = 6
 
   maxretry  = 6
  
   [apache-noscript]
+
   <!--T:32-->
 +
[apache-noscript]
 
    
 
    
 
   enabled  = true
 
   enabled  = true
Rivi 99: Rivi 114:
 
   maxretry = 6
 
   maxretry = 6
  
   [apache-overflows]
+
   <!--T:33-->
 +
[apache-overflows]
 
    
 
    
 
   enabled  = true
 
   enabled  = true
Rivi 108: Rivi 124:
  
  
===  SSH ===
+
===  SSH === <!--T:34-->
  
  [ssh]
+
  <!--T:35-->
 +
[ssh]
  
  enabled  = true
+
  <!--T:36-->
 +
enabled  = true
 
  port    = ssh
 
  port    = ssh
 
  filter  = sshd
 
  filter  = sshd
Rivi 118: Rivi 136:
 
  maxretry = 6
 
  maxretry = 6
  
 +
<!--T:37-->
 
Oletuksena SSH sallii 6 yritystä muodostaessa yhteyttä, suositus on 3 yritystä.  
 
Oletuksena SSH sallii 6 yritystä muodostaessa yhteyttä, suositus on 3 yritystä.  
  
 +
<!--T:38-->
 
'''port = ssh'''  pitää muuttaa jos olet muuttanut SSH:n oletusporttia /etc/ssh/sshd.config tiedostosta.
 
'''port = ssh'''  pitää muuttaa jos olet muuttanut SSH:n oletusporttia /etc/ssh/sshd.config tiedostosta.
  
=== Proftpd ===
+
=== Proftpd === <!--T:39-->
  
   [proftpd]
+
   <!--T:40-->
 +
[proftpd]
  
   enabled  = true
+
   <!--T:41-->
 +
enabled  = true
 
   port    = ftp,ftp-data,ftps,ftps-data
 
   port    = ftp,ftp-data,ftps,ftps-data
 
   filter  = proftpd
 
   filter  = proftpd
Rivi 132: Rivi 154:
 
   maxretry = 3
 
   maxretry = 3
  
=== Postfix ===
+
=== Postfix === <!--T:42-->
  
   [postfix]
+
   <!--T:43-->
 +
[postfix]
 
    
 
    
 
   enabled  = true
 
   enabled  = true
Rivi 141: Rivi 164:
 
   logpath  = /var/log/mail.log
 
   logpath  = /var/log/mail.log
  
   [sasl]
+
   <!--T:44-->
 +
[sasl]
 
    
 
    
 
   enabled  = true
 
   enabled  = true
Rivi 151: Rivi 175:
 
   logpath  = /var/log/mail.log
 
   logpath  = /var/log/mail.log
  
   [dovecot]
+
   <!--T:45-->
 +
[dovecot]
 
    
 
    
 
   enabled = true
 
   enabled = true
Rivi 158: Rivi 183:
 
   logpath = /var/log/mail.log
 
   logpath = /var/log/mail.log
  
== Lokitiedosto==
+
== Lokitiedosto== <!--T:46-->
  
 +
<!--T:47-->
 
Fail2ban tarkistaa estolistan fail2ban lokista, joka on polussa /var/log/fail2ban.log
 
Fail2ban tarkistaa estolistan fail2ban lokista, joka on polussa /var/log/fail2ban.log
  
   nano /var/log/fail2ban.log
+
   <!--T:48-->
 +
nano /var/log/fail2ban.log
  
  
 +
<!--T:49-->
 
Tiedostossa näkyy kaikki lokit ja yritykset muodostaessa yhteyttä palvelimeen.
 
Tiedostossa näkyy kaikki lokit ja yritykset muodostaessa yhteyttä palvelimeen.
  
  
Esimerkki loki:
+
<!--T:50-->
 +
Esimerkkiloki:
  
  
   2014-05-13 15:52:30,388 fail2ban.actions: WARNING [sendmail] Ban XXX.66.82.116
+
   <!--T:51-->
 +
2014-05-13 15:52:30,388 fail2ban.actions: WARNING [sendmail] Ban XXX.66.82.116
 
   2014-05-13 15:59:29,295 fail2ban.actions: WARNING [sendmail] Ban XXX.27.118.100
 
   2014-05-13 15:59:29,295 fail2ban.actions: WARNING [sendmail] Ban XXX.27.118.100
 
   2014-05-13 16:07:31,183 fail2ban.actions: WARNING [sendmail] Unban XXX.66.82.116
 
   2014-05-13 16:07:31,183 fail2ban.actions: WARNING [sendmail] Unban XXX.66.82.116
Rivi 178: Rivi 208:
 
   2014-05-13 17:11:27,833 fail2ban.actions: WARNING [ssh] Unban XXX.136.60.164
 
   2014-05-13 17:11:27,833 fail2ban.actions: WARNING [ssh] Unban XXX.136.60.164
  
== IPTABLES - Palomuuri ==
+
== Aiheeseen liittyvää == <!--T:52-->
  
Näytetään palomuuri säännöt
+
<!--T:53-->
 +
[[Iptables]]
  
  iptables -L
+
== Lisätietoa == <!--T:54-->
  
Näytetään estetyt palomuurista esim. fail2ban
+
<!--T:55-->
 +
https://www.omaserveri.info/suojaa-ssh-yhteytesi-brute-force-hyokkayksilta/
  
  iptables -L -n
+
http://johnny.chadda.se/using-fail2ban-with-nginx-and-ufw/
  
Lista tarkemmin
+
== Lähteet == <!--T:56-->
  
  iptables -L -v
+
<!--T:57-->
 
+
https://www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-fail2ban-on-centos-6
Komento tulostaa:
 
 
 
  Chain fail2ban-ssh (1 references)
 
  target    prot opt source              destination       
 
  DROP      all  --  192.168.100.100          0.0.0.0/0         
 
  RETURN    all  --  0.0.0.0/0            0.0.0.0/0
 
 
 
Poistetaan IP-osoite fail2ban ssh korvaamalla <banned_ip> ban IP-osoitteella.
 
 
 
  iptables -D fail2ban-ssh -s <banned_ip> -j DROP
 
 
 
 
 
Lisätään IP-osoite ban listalle manuaalisesti:
 
 
 
  iptables -A INPUT -s <banned_ip> -j DROP
 
 
 
Verkko-osoiteavaruuksinen  ban
 
 
 
  iptables -A INPUT -s <banned_ip>/24 -j DROP
 
 
 
Verkko-alueen ban:
 
  
  iptables -A INPUT -m iprange --src-range <banned-ip>-<range> -j DROP
 
  
"/24" tarkoittaa verkkomaskia, oletuksena se on 24 = 255.255.255.0
+
</translate>
  
Lista boteista:
+
[[Category:Linux]]
 
 
  116.10.191.0/24
 
  61.174.50.0/24
 
  61.174.51.0/24
 
 
 
Kun olet estänyt manuaalisesti voit katsoa iptablea, ja se näyttää tältä
 
 
 
Chain INPUT (policy ACCEPT)
 
target    prot opt source              destination
 
fail2ban-proftpd  tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 21,20,990,989
 
fail2ban-ssh  tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 22
 
DROP      all  --  116.10.191.0/24      0.0.0.0/0
 
 
 
Tallenna tiedostoon:
 
 
 
iptables-save > /path
 
 
 
Palauta tiedostosta:
 
 
 
iptables-restore < /path
 
 
 
Salli kaikki liikenne ulospäin
 
 
 
iptables -I OUTPUT -o eth0 -d 0.0.0.0/0 -j ACCEPT
 
iptables -I INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
 
 
 
 
 
== Lisätietoa ==
 
 
 
https://www.omaserveri.info/suojaa-ssh-yhteytesi-brute-force-hyokkayksilta/
 
 
 
== Lähteet ==
 
 
 
https://www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-fail2ban-on-centos-6
 

Nykyinen versio 30. heinäkuuta 2018 kello 13.38

Muut kielet:
English • ‎suomi

Fail2ban auttaa suojaamaan yhdestä IP-osoitteesta tulevia brute force hyökkäyksiä seuraamalla lokitiedostoja palvelimella. Tällä voi estää mm. tietyn kirjautumisyritysten määrän jälkeiset kirjautumiset.

Fail2baniin saa suodattimia mm. Apache, Dovecot, Postfix ja SSH.

Fail2banin ongelmana on ettei siinä ole tukea IPv6 osoitteille eikä jaetuille brute force hyökkäyksille.


Asentaminen

Debian / Ubuntu

 aptitude install fail2ban

TAI

 apt-get install fail2ban

Konfigurointi

Avataan /etc/fail2ban/jail.conf

 nano /etc/fail2ban/jail.conf

Oletusasetuksia:

ignoreip = IP-osoitteita jotka ohittavat suodattimet

bantime = Aika, kuinka kauan osoitetta säilytetään estolistalla, oletuksena 600 sekuntia

findtime = Estää Ip-osoitteen jos tämän ajan sisällä on epäonnistunut kirjautumisessa kolme kertaa

maxretry = Kuinka monta yritystä, ennen kuin osoite estetään


Esimerkki konfiguroinnista:

[DEFAULT]

 # "ignoreip" can be an IP address, a CIDR mask or a DNS host
 ignoreip = 127.0.0.1 192.168.1.1
 bantime  = 600
 maxretry = 3
 
 # "backend" specifies the backend used to get files modification. Available
 # options are "gamin", "polling" and "auto


Eli jätetään estolistan ulkopuolelle IP-osoitteet 192.168.1.1 ja 127.0.0.1 (=localhost). Enintään 3 yritystä sallitaan ja jos ylittyy niin pistetään 600 sekunniksi estolistalle.

Ja lisäksi SSH:n konfiguraatiot:

[ssh]                                      # fail2ban-ssh = Suodattimen nimi
 
enabled  = true                            # Onko siis suodatin käytössä? Vaihtoehtona true ja false.
port     = ssh                             # Portti missä on, voi olla siis ssh tai portti numero  esim. 22 
filter   = sshd                            # Suodattimen tyyppi. Suodattimet löytyy /etc/fail2ban/filter.d/ hakemistosta.
logpath  = /var/log/auth.log               # Lokien sijainti
maxretry = 6                               # Kuinka monta yritystä sallitaan

Seuraavassa esimerkit konfiguraatiosta:

Apache

 [apache]
 
 enabled  = true
 port     = http,https
 filter   = apache-auth
 logpath  = /var/log/apache*/*error.log
 maxretry = 6
 # default action is now multiport, so apache-multiport jail was left
 # for compatibility with previous (<0.7.6-2) releases
 [apache-multiport]
 
 enabled   = true
 port      = http,https
 filter    = apache-auth
 logpath   = /var/log/apache*/*error.log
 maxretry  = 6
 [apache-noscript]
 
 enabled  = true
 port     = http,https
 filter   = apache-noscript
 logpath  = /var/log/apache*/*error.log
 maxretry = 6
 [apache-overflows]
 
 enabled  = true
 port     = http,https
 filter   = apache-overflows
 logpath  = /var/log/apache*/*error.log
 maxretry = 2


SSH

[ssh]
enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 6

Oletuksena SSH sallii 6 yritystä muodostaessa yhteyttä, suositus on 3 yritystä.

port = ssh pitää muuttaa jos olet muuttanut SSH:n oletusporttia /etc/ssh/sshd.config tiedostosta.

Proftpd

 [proftpd]
 enabled  = true
 port     = ftp,ftp-data,ftps,ftps-data
 filter   = proftpd
 logpath  = /var/log/proftpd/proftpd.log
 maxretry = 3

Postfix

 [postfix]
 
 enabled  = true
 port     = smtp,ssmtp
 filter   = postfix
 logpath  = /var/log/mail.log
 [sasl]
 
 enabled  = true
 port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
 filter   = sasl
 # You might consider monitoring /var/log/mail.warn instead if you are
 # running postfix since it would provide the same log lines at the
 # "warn" level but overall at the smaller filesize.
 logpath  = /var/log/mail.log
 [dovecot]
 
 enabled = true
 port    = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
 filter  = dovecot
 logpath = /var/log/mail.log

Lokitiedosto

Fail2ban tarkistaa estolistan fail2ban lokista, joka on polussa /var/log/fail2ban.log

 nano /var/log/fail2ban.log


Tiedostossa näkyy kaikki lokit ja yritykset muodostaessa yhteyttä palvelimeen.


Esimerkkiloki:


 2014-05-13 15:52:30,388 fail2ban.actions: WARNING [sendmail] Ban XXX.66.82.116
 2014-05-13 15:59:29,295 fail2ban.actions: WARNING [sendmail] Ban XXX.27.118.100
 2014-05-13 16:07:31,183 fail2ban.actions: WARNING [sendmail] Unban XXX.66.82.116
 2014-05-13 16:14:29,530 fail2ban.actions: WARNING [sendmail] Unban XXX.27.118.100
 2014-05-13 16:56:27,086 fail2ban.actions: WARNING [ssh] Ban XXX.136.60.164
 2014-05-13 17:11:27,833 fail2ban.actions: WARNING [ssh] Unban XXX.136.60.164

Aiheeseen liittyvää

Iptables

Lisätietoa

https://www.omaserveri.info/suojaa-ssh-yhteytesi-brute-force-hyokkayksilta/

http://johnny.chadda.se/using-fail2ban-with-nginx-and-ufw/

Lähteet

https://www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-fail2ban-on-centos-6

Mainos / Advertisement: