Tham gia Đăng nhập
Điểm:1
LinuxSecurityFreak avatar Server

fail2ban thiết lập ban đầu - hướng dẫn

lá cờ ru
LinuxSecurityFreak

Từ sự hiểu biết cơ bản của tôi về iptables Tôi đã tập hợp các thiết lập bên dưới nhằm mục đích chạy rơle Tor... đây là sau khoảng 6 giờ. Xin lưu ý, tôi không muốn thảo luận về bất kỳ hoạt động nào của Tor, vì vậy tôi sẽ không được đề cập đến https://tor.stackexchange.com/ Cảm ơn bạn.

Có một cuộc tấn công lớn vào cổng 22, mà tôi đã phát hiện ra khi tôi thức dậy, vì vậy tôi đã thay đổi nó, xác thực mật khẩu đã bị vô hiệu hóa, nhưng người/bot vẫn cố gắng đột nhập, tôi có RSA dài 8192 bit công khai/ khóa riêng, vì vậy tôi hy vọng nó sẽ đủ.

# iptables -L -v --line-numbers

đầu ra:

Chuỗi INPUT (chính sách DROP 8242 gói, 735K byte)
num pkts byte target prot opt ​​in out đích nguồn         
1 0 0 DROP tcp -- bất kỳ bất kỳ đâu bất kỳ đâu ctstate Cờ tcp MỚI:!FIN,SYN,RST,ACK/SYN /* bảo vệ: các gói không đồng bộ */
2 10 452 DROP all -- bất kỳ bất kỳ nơi nào bất kỳ nơi nào ctstate KHÔNG HỢP LỆ /* bảo vệ: các gói không đúng định dạng */
3 20 1000 CHẤP NHẬN tất cả -- lo mọi nơi mọi nơi /* loopback: bắt buộc */
4 3 98 CHẤP NHẬN icmp -- mọi nơi mọi nơi icmp giới hạn yêu cầu tiếng vang: bùng nổ trung bình 2/giây 5 /* ICMP: chỉ ping */
5 16625 9388K CHẤP NHẬN tất cả -- bất kỳ ở bất kỳ đâu ở bất kỳ trạng thái nào LIÊN QUAN, ĐÃ THÀNH LẬP /* lưu lượng truy cập */
6 7 420 CHẤP NHẬN tcp -- bất kỳ ở bất kỳ đâu ở bất kỳ đâu ctstate MỚI, ĐÃ THÀNH LẬP tcp dpt:xxyyzz /* SSH: bị xáo trộn toàn cầu */ <-- ĐÃ KIỂM TRA
7 438 26080 CHẤP NHẬN tcp -- bất kỳ ở bất kỳ đâu ở bất kỳ đâu tcp dpt:9001 /* Tor: OR */
8 558 30828 CHẤP NHẬN tcp -- bất kỳ ở bất kỳ đâu ở bất kỳ đâu tcp dpt:9030 /* Tor: Dir */

Chuỗi FORWARD (chính sách DROP 0 gói, 0 byte)
num pkts byte target prot opt ​​in out đích nguồn         

ĐẦU RA chuỗi (chính sách CHẤP NHẬN 16969 gói, 6369K byte)
num pkts byte target prot opt ​​in out đích nguồn

Tôi muốn triển khai fail2ban, nhưng tôi chưa bao giờ sử dụng nó, vì vậy tôi đã tìm thấy một số hướng dẫn để thiết lập nó, nhưng tôi tin rằng chúng ta nên có một số ví dụ trên trang web này, tôi đã tìm thấy quá nhiều kết quả cho fail2ban một mình, tuy nhiên chỉ không có gì liên quan cho fail2ban thiết lập ban đầu

Nếu điều này vì bất kỳ lý do gì không thể được thực hiện ở đây, vui lòng bình luận và tôi sẽ xóa câu hỏi này sau.

Hệ thống: Debian GNU/Linux 11 (bullseye) với máy chủ mở cho dịch vụ ssh.

Cảm ơn bạn trước!

Tái bút: Di chuyển từ https://security.stackexchange.com/

79
1 + 0
Điểm:1
Ajay Singh avatar Server
lá cờ us
Ajay Singh

Cài đặt f2b trên deb khá đơn giản. Tôi đã viết về một bài đăng trước đây (https://dev.slickalpha.blog/2019/11/installing-lemp-stack-on-debian-buster.html#sv-fail2ban).

Đầu tiên bạn cài f2b

cài đặt apt fail2ban -y

Sao chép cấu hình vào cục bộ

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

và thực hiện các chỉnh sửa của bạn trên tệp cục bộ

nano /etc/fail2ban/jail.local

cập nhật các giá trị mặc định (cổng 22 được bật sẵn trên f2b)

[MẶC ĐỊNH]
...
# SỰ LỰA CHỌN HỖN HỢP...
bantime = 86400
thời gian tìm thấy = 86400
thử nghiệm tối đa = 2`

Khởi động lại f2b

/etc/init.d/fail2ban khởi động lại

Kiểm tra trạng thái của sshd 22

fail2ban-client status sshd

Ngoài việc này, sử dụng khóa có cụm mật khẩu là đủ. Bạn luôn có thể tinh chỉnh f2b.

Cập nhật:

Fail2ban về cơ bản kiểm tra nhật ký cho IP, sử dụng bộ lọc regex và chặn IP phù hợp bằng iptables.

Để liệt kê các nhà tù đã bật (bộ lọc regex cho một dịch vụ trong f2b)

trạng thái fail2ban-client

Để bảo vệ một cổng hoặc dịch vụ tùy chỉnh,

Kiểm tra xem có bộ lọc regex cho dịch vụ đó không

ls /etc/fail2ban/filter.d

Nếu họ có mặt, hãy nói tên tù.conf, chỉ cần bật chúng trên tệp cục bộ f2b

nano /etc/fail2ban/jail.local

Theo cú pháp

[tên tù]
..tùy chọn..

giả sử nếu sshd chưa được bật, hãy thêm đã bật = đúng vào tù sshd

[sshd]
đã bật = đúng
....

Để kiểm tra các bản ghi đối với nhật ký của bạn và cập nhật regex nếu thiếu

fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf

Nếu không có nhà tù cho một dịch vụ hoặc cổng, hãy kiểm tra trực tuyến các bộ lọc đó và thêm các bộ lọc đó vào /etc/fail2ban/filter.d và kích hoạt nó trên tệp cấu hình cục bộ.

0 + 2
Ajay Singh avatar
lá cờ us
Ajay Singh
Bạn đang sử dụng cổng nào và đây có phải là cổng tùy chỉnh cho tor không?
0
Hồi đáp
Ajay Singh avatar
lá cờ us
Ajay Singh
Tôi đã cập nhật bài đăng cho các cổng và dịch vụ tùy chỉnh. Bạn cũng có thể trực tiếp giới hạn các cổng bằng cách sử dụng iptables (như đã đề cập trên bài đăng được liên kết) và theo dõi nhật ký của các dịch vụ mà bạn sử dụng và thêm các yêu cầu tấn công vào fail2ban.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.