https://wiki.webko.net.ua/index.php?action=history&feed=atom&title=Fail2banFail2ban - История изменений2026-05-05T15:11:01ZИстория изменений этой страницы в викиMediaWiki 1.35.1https://wiki.webko.net.ua/index.php?title=Fail2ban&diff=71&oldid=prevSol: Новая страница: «'''Настройка Fail2ban для защиты SSH и не только''' ''Fail2ban'' — простой в использовании локальный…»2015-04-20T17:49:55Z<p>Новая страница: «'''Настройка Fail2ban для защиты SSH и не только''' ''Fail2ban'' — простой в использовании локальный…»</p>
<p><b>Новая страница</b></p><div>'''Настройка Fail2ban для защиты SSH и не только'''<br />
<br />
''Fail2ban'' — простой в использовании локальный сервис, который отслеживает log–файлы запущенных программ, и на основании различных условий блокирует по IP найденных нарушителей.<br />
<br />
Программа умеет бороться с различными атаками на все популярные *NIX–сервисы, такие как Apache, Nginx, ProFTPD, vsftpd, Exim, Postfix, named, и т.д.<br />
<br />
Но в первую очередь Fail2ban известен благодаря готовности «из коробки» к защите SSH–сервера от атак типа «bruteforce», то есть к защите SSH от перебора паролей.<br />
<br />
[[Файл:Fail2ban-ssh-in-action.png]]<br />
<br />
<br />
[http://habrahabr.ru/post/238303/ Fail2ban incremental: Лучше, быстрее, надежнее]<br />
[http://habrahabr.ru/post/236859/ Fail2ban и nginx]<br />
== Установка Fail2ban ==<br />
<br />
<br />
Готовые пакеты Fail2ban можно найти в официальных репозиториях всех популярных Linux дистрибутивов.<br />
<br />
Установка Fail2ban на Debian/Ubuntu:<br />
<br />
apt-get install fail2ban<br />
<br />
Установка Fail2ban на CentOS/Fedora/RHEL:<br />
<br />
yum install fail2ban<br />
<br />
chkconfig fail2ban on<br />
<br />
== Конфигурация Fail2ban ==<br />
<br />
<br />
На данном этапе Fail2ban уже готов к работе, базовая защита SSH сервера от перебора паролей будет включена по умолчанию. Но лучше всё-же внести некоторые изменения следуя рекомендациям ниже.<br />
<br />
У программы два основных файла конфигурации:<br />
<br />
/etc/fail2ban/fail2ban.conf — отвечает за настройки запуска процесса Fail2ban.<br />
/etc/fail2ban/jail.conf — содержит настройки защиты конкретных сервисов, в том числе sshd.<br />
<br />
Файл jail.conf поделён на секции, так называемые «изоляторы» (jails), каждая секция отвечает за определённый сервис и тип атаки:<br />
<br />
[DEFAULT]<br />
ignoreip = 127.0.0.1/8<br />
bantime = 600<br />
maxretry = 3<br />
banaction = iptables-multiport<br />
<br />
[ssh]<br />
enabled = true<br />
port = ssh<br />
filter = sshd<br />
logpath = /var/log/auth.log<br />
maxretry = 6<br />
<br />
Параметры из секции '''[DEFAULT]''' применяются ко всем остальным секциям, если не будут переопределены.<br />
<br />
Секция '''[ssh]''' отвечает за защиту SSH от повторяющихся неудачных попыток авторизации на SSH–сервере, проще говоря, «brute–force».<br />
<br />
Подробнее по каждому из основных параметров файла jail.conf:<br />
<br />
''ignoreip'' — IP–адреса, которые не должны быть заблокированы. Можно задать список IP-адресов разделённых пробелами, маску подсети, или имя DNS–сервера.<br />
<br />
''bantime'' — время бана в секундах, по истечении которого IP–адрес удаляется из списка заблокированных.<br />
<br />
''maxretry'' — количество подозрительных совпадений, после которых применяется правило. В контексте [ssh] — это число неудавшихся попыток логина, после которых происходит блокировка.<br />
<br />
''enabled'' — значение ''true'' указывает что данный jail активен, ''false'' выключает действие изолятора.<br />
<br />
''port'' — указывает на каком порту или портах запущен целевой сервис. Стандартный порт SSH–сервера — 22, или его буквенное наименование — ssh.<br />
<br />
''filter'' — имя фильтра с регулярными выражениями, по которым идёт поиск «подозрительных совпадений» в журналах сервиса. Фильтру sshd соответствует файл /etc/fail2ban/filter.d/sshd.conf.<br />
<br />
''logpath'' — путь к файлу журнала, который программа Fail2ban будет обрабатывать с помощью заданного ранее фильтра. Вся история удачных и неудачных входов в систему, в том числе и по SSH, по умолчанию записывается в log–файл /var/log/auth.log.<br />
<br />
<br />
== Рекомендации по настройке Fail2ban ==<br />
<br />
<br />
Не рекомендуется оставлять параметр '''''ignoreip''''' со значением по умолчанию 127.0.0.1/8, это создаёт очевидную угрозу в многопользовательских системах — если злоумышленник получил доступ хотя–бы к одному shell–аккаунту, то он имеет возможность беспрепятственно запустить bruteforce–программу для атаки на root или других пользователей прямо с этого–же сервера.<br />
<br />
Новая опция '''''findtime''''' — определяет длительность интервала в секундах, за которое событие должно повториться определённое количество раз, после чего санкции вступят в силу. Если специально не определить этот параметр, то будет установлено значение по умолчанию равное 600 (10 минут). Проблема в том, что ботнеты, участвующие в «медленном брутфорсе», умеют обманывать стандартное значение. Иначе говоря, при '''''maxretry''''' равным 6, атакующий может проверить 5 паролей, затем выждать 10 минут, проверить ещё 5 паролей, повторять это снова и снова, и его IP забанен не будет. В целом, это не угроза, но всё же лучше банить таких ботов.<br />
<br />
Прежде чем вносить изменения следуя рекомендациям, отметим, что не стоит редактировать основной файл настроек jail.conf, для этого предусмотрены файлы с расширением *.local, которые автоматически подключаются и имеют высший приоритет.<br />
<br />
nano /etc/fail2ban/jail.local<br />
<br />
[DEFAULT]<br />
## Постоянный IP-адрес.<br />
## Если не переопределить ignoreip здесь,<br />
## то стоит закомментировать этот параметр в jail.conf.<br />
ignoreip = 57.66.158.131<br />
<br />
[ssh]<br />
## если в течении 1 часа:<br />
findtime = 3600<br />
## произведено 6 неудачных попыток логина:<br />
maxretry = 6<br />
## то банить IP на 24 часа:<br />
bantime = 86400<br />
<br />
Осталось перезапустить Fail2ban:<br />
<br />
service fail2ban restart<br />
* Restarting authentication failure monitor fail2ban [ OK ]<br />
<br />
tail /var/log/fail2ban.log<br />
<br />
2013-01-20 22:00:35,911 fail2ban.jail : INFO Jail 'ssh' stopped<br />
2013-01-20 22:00:35,916 fail2ban.server : INFO Exiting Fail2ban<br />
2013-01-20 22:00:36,257 fail2ban.server : INFO Changed logging target to<br />
/var/log/fail2ban.log for Fail2ban v0.8.6<br />
2013-01-20 22:00:36,258 fail2ban.jail : INFO Creating new jail 'ssh'<br />
2013-01-20 22:00:36,259 fail2ban.jail : INFO Jail 'ssh' uses poller<br />
2013-01-20 22:00:36,271 fail2ban.filter : INFO Added logfile = /var/log/auth.log<br />
2013-01-20 22:00:36,271 fail2ban.filter : INFO Set maxRetry = 6<br />
2013-01-20 22:00:36,272 fail2ban.filter : INFO Set findtime = 3600<br />
2013-01-20 22:00:36,272 fail2ban.actions: INFO Set banTime = 86400<br />
2013-01-20 22:00:36,298 fail2ban.jail : INFO Jail 'ssh' started<br />
<br />
<br />
[[Категория:Общее *nix]] [[Category:Linux]][[Category:BSD]]</div>Sol