Hackeri a ich roboti sa neustále pokúšajú získať prístup na servery, napr. prostredníctvom slovníkového útoku na protokol SSH. Fail2ban je software, ktorý slúži na blokovanie IP adries, z ktorých dochádza k opakovanému pokusu o neoprávnený prístup na server.
Fail2ban slúži ako primárna ochrana na blokovanie útokov hrubou silou. Pokusy o prihlásenie sa zapisujú do logov, ktoré sú následne prehliadané scriptom. Ak script vyhodnotí, že ide o útok, na základe definovaných parametrov aktualizuje firewall pravidlá na serveri a na špecifikovaný čas, znemožní opätovný pokus o prihlásenie. Inštaláciu a konfiguráciu si popíšeme nižšie.
Máte záujem naučiť sa pracovať s Linuxom? Prihláste sa na kurz Linux Začiatočník. Viac informácii nájdete TU.
Inštalácia Fail2BAN
Fail2BAN nainštalujeme príkazom nižšie.
sudo apt-get install fail2ban
Konfigurácia
Celá konfigurácia sa nachádza v adresári /etc/fail2ban , kde sa nachádzajú nasledovné položky.
- filter.d
- action.d
- fail2ban.conf – hlavný konfiguračný súbor
- jail.conf – slúži na samostatné banovanie
Začneme úpravou súboru jail.conf .
nano /etc/fail2ban/jail.conf
Konfigurácia môže vyzerať napr. tak, ako je uvedené nižšie.
ignoreip = X.X.X.X bantime = 86400 maxretry = 3 findtime = 600
Ignoreip – IP adresy, ktoré nechceme, aby dostali ban.
Bantime – čas, na ktorý dostane útočník ban, pri opakovanom neúspešnom pokuse o autentizáciu
Konfigurácia nižšie definuje, ako sa bude Fail2BAN správať pri pokuse o autentizáciu prostredníctvom protokolu SSH.
[ssh] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 3
logpath – Miesto, kde sa ukladajú všetky logy. V našom príklade do súboru /var/log/auth.log .
Po dokončení konfigurácie reštartujeme službu, aby sa implementovali zmeny.
/etc/init.d/fail2ban restart
Týmto spôsobom vieme efektívne znížiť pravdepodobnosť prelomenia hesla. Samozrejme, ak máte nastavené slabé heslo, útočníkovi bude postačovať menej pokusov na jeho uhádnutie. V takomto prípade váš server Fail2BAN neochráni.
Spustiť slovníkový útok hrubou silou je naozaj jednoduché. Je možné ho vykonať napr. z notebooku s Linuxom pomocou programu Hydra. Návod nájdete v článku Ako hacknúť heslo od vášho routra. Tento útok si tiež môžete vyskúšať na kurze Etický Hacking Siete.
Chcete získať 10 návodov na inštaláciu a konfiguráciu služieb na najnovšej verzii Linux Ubuntu 18.04 LTS? Pozrite sa na viac informácii o ebooku LINUX SERVER.
Ak vás tento článok zaujal a chcete dostávať mailovú notifikáciu, pri publikovaní podobných článkov o hackingu, sieťovej bezpečnosti, Linux serveroch, Cisco zariadeniach, či o programovaní, môžete sa prihlásiť na odber článkov.
Volám sa Ivan Baroňák. Vyštudoval som vyššie odborné štúdium na SPšE Zochova 9. Ukončené titulom DiS. Pracoval som na miestnom úrade Karlova ves, kde som bol vedúci IT oddelenia. Som rád, že môžem byť súčasťou blogu a dúfam, že moje skúsenosti budú pre tento blog prospešné.
veľmi zaujímavá, dobrá práca a vďaka za zdieľanie takého dobrého blogu.
Dobrý deň, ďakujem pekne. Takéto recenzie vždy potešia.I keď ja nie som autorom tejto stránky, ale občas napíšem nejakú publikáciu a snažím sa obohatiť tento web.