Hackeri a ich roboti sa neustále pokúšajú získať prístup na servery, napr. prostredníctvom slovníkového útoku na protokol SSH. Fail2ban je software, ktorý slúži na blokovanie IP adries, z ktorých dochádza k opakovanému pokusu o neoprávnený prístup na server.
Fail2ban slúži ako primárna ochrana na blokovanie útokov hrubou silou. Pokusy o prihlásenie sa zapisujú do logov, ktoré sú následne prehliadané scriptom. Ak script vyhodnotí, že ide o útok, na základe definovaných parametrov aktualizuje firewall pravidlá na serveri a na špecifikovaný čas, znemožní opätovný pokus o prihlásenie. Inštaláciu a konfiguráciu si popíšeme nižšie.
Inštalácia Fail2BAN
Fail2BAN nainštalujeme príkazom nižšie.
sudo apt-get install fail2ban
Konfigurácia
Celá konfigurácia sa nachádza v adresári /etc/fail2ban , kde sa nachádzajú nasledovné položky.
- filter.d
- action.d
- fail2ban.conf – hlavný konfiguračný súbor
- jail.conf – slúži na samostatné banovanie
Začneme úpravou súboru jail.conf .
nano /etc/fail2ban/jail.conf
Konfigurácia môže vyzerať napr. tak, ako je uvedené nižšie.
ignoreip = X.X.X.X bantime = 86400 maxretry = 3 findtime = 600
Ignoreip – IP adresy, ktoré nechceme, aby dostali ban.
Bantime – čas, na ktorý dostane útočník ban, pri opakovanom neúspešnom pokuse o autentizáciu
Konfigurácia nižšie definuje, ako sa bude Fail2BAN správať pri pokuse o autentizáciu prostredníctvom protokolu SSH.
[ssh] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 3
logpath – Miesto, kde sa ukladajú všetky logy. V našom príklade do súboru /var/log/auth.log .
Po dokončení konfigurácie reštartujeme službu, aby sa implementovali zmeny.
/etc/init.d/fail2ban restart
Týmto spôsobom vieme efektívne znížiť pravdepodobnosť prelomenia hesla. Samozrejme, ak máte nastavené slabé heslo, útočníkovi bude postačovať menej pokusov na jeho uhádnutie. V takomto prípade váš server Fail2BAN neochráni.
Spustiť slovníkový útok hrubou silou je naozaj jednoduché. Je možné ho vykonať napr. z notebooku s Linuxom pomocou programu Hydra. Návod nájdete v článku Ako hacknúť heslo od vášho routra. Tento útok si tiež môžete vyskúšať na kurze Etický Hacking Siete.
Ak vás tento článok zaujal a chcete dostávať mailovú notifikáciu, pri publikovaní podobných článkov o hackingu, sieťovej bezpečnosti, Linux serveroch, Cisco zariadeniach, či o programovaní, môžete sa prihlásiť na odber článkov.
