Установка и настройка Fail2ban в CentOS 6
Fail2ban призван выявлять признаки вредоносной активности и отправлять в бан IP, вызывающие сомнение. Первое, что нужно сделать 一 установить репозиторий EPEL:
|
rpm -ivh http://download.fedoraproject.org/pub/epel/6/$(arch)/epel-release-6-8.noarch.rpm |
После этого добавьте команду установки 一 yum install [название сервиса]:
|
yum install fail2ban |
Настройки Fail2ban “лежат” в файле /etc/fail2ban/jail.conf, однако редактировать мы будем не его, а локальную копию, которая создается командой cp:
|
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local |
Установите текстовый редактор nano, чтобы внести правки в файл:
|
yum install nano |
После этого впишите команду:
|
nano /etc/fail2ban/jail.local |
Откройте поиск, нажав Ctrl+W и найдите секцию [DEFAULT]. Именно здесь прописаны основные правила, влияющие на работу Fail2ban. Рассмотрим основные опции:
- ignoreip 一 запрет блокировки IP из этого списка. Несколько адресов пишутся через пробел. Также можно внести в этот список свой IP, чтобы случайно не заблокировать себя же.
- bantime 一 время бана в секундах. По умолчанию в Fail2ban выставлено 10 минут. Если вы хотите, чтобы бан был постоянным, используйте отрицательное число.
- findtime 一 время, в течение которого сервису позволено отслеживать подозрительную активность. Время измеряется в секундах. По умолчанию также выставлено 10 минут.
- maxretry 一 количество неудачных попыток входа, после которого IP отправляется в бан. По умолчанию 一 3 попытки.
Далее обратите внимание на секцию [sshd]. В ней представлены следующие параметры и возможности:
enabled = true 一 параметр, свидетельствующий о включенной SSH защите. Если вы хотите отключить защиту, поменяйте параметр true на false:
|
enabled = false |
filter = sshd 一 “ссылка” на файл конфигурации, в котором прописаны права, используемые Fail2ban для обнаружения соответствий. Данный файл находится здесь:
|
cd /etc/fail2ban/filter.d/sshd.conf |
Открыв его при помощи текстового редактора nano, вы увидите его содержимое:
|
nano /etc/fail2ban/filter.d/sshd.conf |
action = iptables[name=SSH, port=ssh, protocol=tcp] 一 команда Action показывает то ли иное действие, совершаемое сервисом Fail2ban для блокировки IP-адресов. Действия ссылаются на файл, расположенный в папке action.d:
|
cd /etc/fail2ban/action.d |
К примеру, iptables находится здесь:
|
nano /etc/fail2ban/action.d/iptables.conf |
Если вы хотите добавить новый фильтр, то полный их список вы найдете следующей папке:
|
cd /etc/fail2ban/filter.d |
Чтобы выяснить, работает ли Fail2ban, а также посмотреть правила, которые он добавляет в фаерволе, воспользуйтесь командой:
|
iptables -L |
