Table of Contents
fail2ban
Краткое описание пациента: при обнаружении попытки взлома, добавляет запись с IP-адресом атакующего в таблицу правил безопасности iptables и блокирует его либо временно, либо навсегда. Еще fail2ban может слать алерты на email.
Основные настройки
Ставим на debian 9. Мою любименькую. Все просто
apt-get install fail2ban
Конфигурационные файлы fail2ban хранит в директории /etc/fail2ban
. В ней существует файл со значениями по умолчанию под названием jail.conf
.
Так как этот файл может быть изменен с помощью обновлений пакетов, его редактирование не рекомендуется. Для настройки используют подключаемые файлы из каталога /etc/fail2ban/jail.d
.
Уменьшение потребления памяти
Для уменьшения потребления памяти, будем использовать команду ULIMIT. В файле /etc/default/fail2ban
добавим строку:
ulimit -s 256
После этого перезагрузим демон
sudo /etc/init.d/fail2ban restart
Оценить разницу, до и после внесения изменений, можно следующей командой
ps -aux | grep fail2ban
Оповещения по email
Добавить IP-адреса в белый список
В директиву ignoreip можно добавить IP-адреса, диапазоны IP-адресов или хосты, которые нужно исключить из запрета. Раскомментируем строку в файле /etc/fail2ban/jail.conf
, начинающуюся с ignoreip и добавляем свои IP-адреса через пробел:
ignoreip = 127.0.0.1/8 192.168.30.0/24 10.10.10.14/24
Управление блокировками
Просмотр
Получить список правил можно командой
fail2ban-client status Status |- Number of jail: 1 `- Jail list: sshd
Получить статистику заблокированных адресов можно следующей командой
fail2ban-client status <имя правила>
либо цепочка - Chain f2b-sshd
iptables -L -n --line
Удаление из блок листа
Средствами fail2ban,
fail2ban-client set <имя правила> unbanip <IP-адрес> # example fail2ban-client set sshd unbanip 12.345.67.89
С помощью iptables
iptables -D <цепочка правил> -s IP-адрес # example iptables -D f2b-sshd -s 12.345.67.89