Методы защиты SSH от взлома. Используйте нестандартный порт

Стоит «засветиться» сервису в общедоступной сети, как мгновенной он становится объектом для атаки. Одна из проблем – попытка получения доступа с помощью перебора паролей (брутфорса). И SSH в данном случае не исключение.

Анализ файла логов аутентификации /var/log/auth.log или аналогов показывает, что попытка подбора пароля обычно производится сразу с нескольких IP и растянута по времени.

Защита от Брутфорса SSH

Защититься от этого можно по-разному:

Используя возможности настройки демона SSH
Пакетный фильтр
Специальные приложения
Port knocking

Самый простой и действенный способ – это изменить 22-й порт, используемый по умолчанию, например, на 2002-й, если это не мешает другим задачам. Вносим запись в /etc/ssh/sshd_config:

После этого попытки подбора паролей практически прекращаются. Бывают случаи, когда изменить порт нельзя. Как вариант, можно ограничить доступ по SSH определенным пользователям (в частности, root) или группе. В sshd_config за это отвечает ряд параметров: AllowUsers, AllowGroups, DenyUsers и DenyGroups. Удобно, что с логином можно указать IP или подсеть. Например, разрешим доступ пользователю admin и user, последнему только с одного IP:

Еще один действенный вариант защиты от перебора – использование для аутентификации сертификатов. Причем с помощью специального параметра match можно создать условный блок, в котором переопределить параметры глобальной секции. Например, запретим вход по SSH по паролю для пользователя root, разрешив всем остальным:

# всем разрешаем доступ по паролю
PasswordAuthentication yes
# root будет использовать только сертификат
match user root
PasswordAuthentication no
KbdInteractiveAuthentication no

Используя TCP Wrapper, также можем ограничить доступ к любому сервису только с определенных IP, для этого следует лишь прописать в файл /etc/hosts.allow или /etc/hosts.deny нужное правило. Разрешим в /etc/hosts.allow доступ только с нужной подсети:

sshd: 192.168.1.0/24: allow

Или в /etc/hosts.deny:

sshd: ALL: deny
sshd: ALL EXCEPT 192.168.1.0/24: allow

Пакетный фильтр позволяет очень точно задавать параметры соединений, отбрасывая ненужные пакеты. С его помощью легко ограничить доступ к 22-му порту только определенным адресам. Простой пример:

iptables -A INPUT -s !192.168.0.1 -p tcp -m tcp --dport 22 ↵
-j REJECT -reject-with icmp-port-unreachable

Фильтрация пакетов по портам и IP-адресам не очень эффективна, если Aдмин не привязан к рабочему месту. В этом случае помогут специальные утилиты: Fail2ban , Sshguard . Fail2ban изначально разрабатывался для защиты SSH. Хотя сегодня это уже фреймворк, который можно легко настроить под любые приложения. Принцип работы очень прост. Демон периодически проверяет журналы на наличие записей о любых подозрительных действиях. Затем подозрительный IP-адрес блокируется средствами iptables или TCP Wrapper. Через указанное в настройках время блокировка обычно снимается, чтобы случайно не заблокировать легальный узел. При срабатывании правила записывается событие в журнал /var/log/fail2ban.log, и может быть отправлен email.

Один процесс может контролировать сразу несколько сервисов, а в пакете поставляются готовые настройки для популярных приложений Linux. В настройках по умолчанию защищается только SSH.

В Ubuntu и Debian устанавливается командой:

$ sudo apt-get install fail2ban

Все настройки производятся в нескольких файлах, размещенных в каталоге /etc/fail2ban. В fail2ban.conf хранятся параметры запуска самого демона, в jail.conf описываются контролируемые сервисы (внутри секции SSH).

Enabled = true
port = 22
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

Фильтры и действия прописываются в файлах, размещенных в подкаталогах filter.d и action.d. По умолчанию все файлы имеют расширение.conf, их лучше не трогать (в т.ч. и jail.conf). Все изменения следует заносить в файл с расширением.local (например, jail.local), параметры которого замещают установки из первого, а при обновлении не будут потеряны. Для проверки работы фильтра можно использовать утилиту fail2ban-regex.

Несколько правил по защите доступ к ssh серверу.

1. Добавляем в конфигурацию ssh сервера слушать еще один порт, помимо стандартного. (Для простоты запоминания можно использовать 4 повторяющихся цифры для всех своих серверов).

$ sudo vi /etc/ssh/sshd_config Port 22 Port xxxx

2. Ограничиваем обращения на 22 порт только доверенным ip адресам *например 8.8.8.8 (таких правил сделать можно несколько, работа/дом)

$ sudo vi /etc/sysconfig/iptables -A INPUT -s 8.8.8.8 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

3. Не забываем проверить не используется ли у нас ipv6, если используется, то закрываем лишнее

$ sudo vi /etc/sysconfig/ip6tables *filter:INPUT ACCEPT :FORWARD ACCEPT :OUTPUT ACCEPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p ipv6-icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT -A INPUT -j REJECT --reject-with icmp6-adm-prohibited -A FORWARD -j REJECT --reject-with icmp6-adm-prohibited COMMIT

Для того, чтобы использовать ssh только на определенном адресе достаточно в файле конфигурации sshd_config указать парметр ListenAddress (например ListenAddress 74.125.200.100). В таком случае ssh будет доступен только на этом адресе и не будет работать через ipv6

4. Используем файл конфигурация ssh на стороне клиента.

Расположение: ~/.ssh/config

# fix Write failed: broken pipe ServerAliveInterval 120 TCPKeepAlive no # для использования коротких имен Host dev-vps # ip адрес или публичное доменное имя хоста Hostname 127.0.0.3 # Под каким юзером осуществлять вход User developer # Файл ключа для авторизации (если используется) IdentityFile ~/.ssh/id_rsa.dev

И еще один пример использования файла конфигурации:
{<1>}

Host ssh-server-1 Hostname 1.2.3.4 User dev Port 1234 Host ssh-server-2 User root # Hostname 192.168.10.20 # nc without -q0 if RHEL based & with -q0 debian based IdentityFile ~/.ssh/id_rsa.work-pc ProxyCommand ssh -q0 ssh-server-1 nc -q0 192.168.10.20 22

И теперь при подключении на ssh-server-1 мы сразу прыгнем на нужны нам хост. (Удобно использовать например при разных ключах на серверах)

А так-же хипстерский прокси вариант:

{<2>}

Скачиваем клиент ngrok на сервер, который находится за файерволом. Запускаем бинарник и указываем какой порт нам нужно пробросить

Для зашиты нашего сервера от перебора паролей можно воспользоваться утилитами sshguard или sshit.

Принципы работы.

sshguard и sshit работают по одному принципу. Анализируют системные сообщения о неверной аутентификации и в случае достижения определенного значения заносят атакующий ip в блокирующее правило файервола. Через определенное время ip из правила удаляется.
Соответсвенно для работы необходим настроенный файервол.

SSHGuard

sshguard умеет работать с

AIX native firewall - for IBM AIX operating systems
netfilter/iptables - for Linux-based operating systems
Packet Filter (PF) - for BSD operating systems (Open, Free, Net, DragonFly -BSD)
IPFirewall (IPFW) - for FreeBSD and Mac OS X
IP Filter (IPFILTER) - for FreeBSD, NetBSD and Solaris
tcpd"s hosts_access (/etc/hosts.allow) - portable across UNIX
null - portable do-nothing backend for applying detection but not prevention

Я использую PF поэтому в заметке примеры на PF.

Установка sshguard.

FreeBSD:

Устанавливаем из портов

Cd /usr/ports/security/sshguard-pf/&& make install clean

Если по каким-то причинам Вы не используете порты, скачайте последнию версию с сайта sshguard и соберите в ручную

./configure --with-firewall=pf && make && make install

Debian:

apt-get install sshguard

Настройка ОС для работы sshguard.

Создаем файл для хранения логов

# touch /var/log/sshguard

Debian (wheezy):

Редактируем в //etc/default/sshguard следующую строчку

#mcedit /etc/default/sshguard #ARGS="-a 40 -p 420 -s 1200" ARGS="-a 5 -p 420 -s 2400 -b 5:/etc/sshguard/blacklist"

и перезапускаем sshguard
service sshguard restart

FreeBSD:

Нам необходимо добавить две строки в конфигурацию PF

Table persist

объявляем таблицу куда sshguard вносит ip роботов.

Block in quick on $if0 proto tcp from

Собственно само блокирующее правило, его стоит разметить на самом верху блока правил конфигурационного файла PF. $if0 интерфейс на котором будут блокироваться подключения, для блокировки на всех интерфейсах замените на any.
Перечитайте файл конфигурации

Auth.info;authpriv.info |exec/usr/local/sbin/sshguard

и перезапустите syslog

#/etc/rc.d/syslogd restart

Собственно после этих манипуляций sshguard будет блокировать атаки с параметрами по умолчанию.
При атаке в /var/log/auth.log мы увидим примерно следующие

Jun1611:01:40 www sshd:Invalid user test from61.172.251.183Jun1612:29:48 www sshd:Invalid user test from85.114.130.168Jun1612:29:49 www sshd:Invalid user test from85.114.130.168Jun1612:29:49 www sshd:Invalid user test from85.114.130.168Jun1612:29:50 www sshd:Invalid user test from85.114.130.168Jun1612:29:50 www sshguard:Blocking85.114.130.168:4for>420secs:4 failures over 2 seconds.

Настройка параметров sshguard

sshguard имеет ряд параметров которые мы можем переопределить
-a количество неудачных попыток аутентификации после которого ip будет заблокирован. По умолчанию 4.
-p через сколько секунд ip будет разблокирован. По умолчанию 420.
-s сколько секунд sshguard помнит ip. По умолчанию 1200. Чтоб было понятней если с ip идет одна атака в 30 минут то он ни когда не попадет в бан при дефолтовой настройке.
-w белые ip, сети, или путь к файлу белых адресов. Формат файла одна строка - одна запись, # определяет комментарии.
-b определяет через сколько блокировок ip будет добавлен в черный список и путь до него. Черный список загружается при старте sshguard и автоматически не очищается.

у sshguard нет файла конфигурации параметры задаются при старте sshguard. В нашем случае sshguard пускается syslog поэтому отредактируем syslog.conf так, что sshguard будет блокировать ip после 3 неудачных попыток аутонтификации на 30 минут, а после 5 блокировок заносить его в черный список.

Auth.info;authpriv.info |exec/usr/local/sbin/sshguard -a 3-p 1500-b 5:/usr/local/etc/sshguard.blacklist

первый раз блокируется на 420 секунд и удаляется через 7 минут
второй раз на 2*420 у удаляется через 14 минут
третий раз на 2*2*420 и удаляется через 28 минут и тд...
2^(N-1)*420 N-й раз.

Sshit

Sshit - это perl скрипт соответственно необходимо чтобы в системе был perl, а так же 2 модуля

IPC::Shareable
Proc::PID::File

Sshit умеет работать только с pf и ipfw.

Установка sshit

cd /usr/ports/security/sshit/&& make install clean

Конфигации sshit.

Sshit имеет конфигурационный файл /usr/local/etc/sshit.conf в котором можно переопредилить значения по умолчанию.

FIREWALL_TYPE ="pf"; # Какой firewall используем MAX_COUNT =3; # Количество неудачных попыток аутентификации после которого ip блокируется WITHIN_TIME =60; # В течении сколько секунд должно произойти заданное кол-во неудачных аутентификаций RESET_IP =300; # Через сколько секунд ip будет разблокирован. PFCTL_CMD ="/sbin/pfctl"; PF_TABLE ="badhosts"#имя таблицы куда заносятся плохие ip

Настройка ОС для работы sshit.

По аналогии с настройкой под sshguard редактируем файл конфигурации PF

Table persist block in quick on $if0 proto tcp from to $if0 port ssh label "ssh brute"

перечитываем конфигурационный файл

#pfctl -f /etc/pf.conf

Редактируем syslog.conf

Auth.info;authpriv.info |exec/usr/local/sbin/sshit

и перезапустите syslog

SSH - это протокол используемый для обеспечения безопасности и шифрования передачи данных в сети. Он широко используется в кругу Linux администраторов для управления удаленным серверомю. Сервер подключение к сети Интернет очень часто подвергаются атакам на службу SSH с целью получить доступ к серверу. Самая расптространенная это подбор пароля пользователя с правами адмиристратора. В этой инструкции мы рассмотрим базоые рекомендации для обеспечения безопасности SSH подключения.

Установите сложный пароль

Ваш сервер может подврегнутся атаки со стороны злоумышленников пытающихся подобрать пароль к серверу по SSH , чтобы снизить риск взлома - рекомендуем устанавливать пароли к учетным записям сервера соответствующие следующим параметрам:

Как минимум 8 символов
Используйте верхний и нижний регистр символов (AaBb)
Используйте буквы - цифры и знаки (!BasDf345$@)

Сильный пароль не только защитит от взлома по SSH протоколу, но и в целом улучшит защиту сервера.

Используйсте SSH ключи

Дополнительной защитой Вашего сервера будет использование ключа для подключения к серверу по SSH , генерировать ключ нужно на компьютере/сервере с которого будете подключаться:

Как создать SSH ключ на Windows ОС :

Чтобы создать ключ в Linux наберите команду:

Ssh-keygen -t rsa

Чтобы установить этот ключ на сервер к которому Вы будете подключаться наберите команду:

Ssh-copy-id -p 22 [email protected]

-p 22 - порт сервера по которому работает SSH протокол (может быть изменён, подробней информация ниже)
admin - Логин от Вашего сервера
192.168.1.1 - IP адрес Вашего сервера

Если всё сделали правильно то теперь Вы можете подключаться к серверу по ключу, при этом Вам не придется каждый раз вводить пароль.

Используйте нестандартный порт

Стандартно SSH служба запущенная на сервере слушает 22 Порт для подключения/передачи данных, этим могут воспользоваться злоумышленники рассчитывая на то что большинство пользователей не меняют стандартный порт для подключения к серверу. Поэтому мы изменим порт, тем самым - ещё раз уменьшив риск взлома нашего сервера.

Для этого откроем конфигурационный файл SSH на сервере:

Sudo nano /etc/ssh/sshd_config

Найдем в нём закомментированную строку такого вида:

# Port 22

Удалим символ # - чтобы убрать опцию комментария и изменим 22 на любые цифры начиная с 11060 и по нарастанию, для примера будем использовать 11 060 , теперь строка должна выглядеть так:

Port 11060

Сохраните конфигурацию "Ctrl +O " и выходите из редактора "Ctrl +X ".

Нужно перезагрузить SSH службу - чтобы принялись новые настройки, выполним команду:

Sudo service sshd restart

Таким образом мы поменяли порт для подключения, с этих пор - чтобы подключиться к серверу нужно указывать нестандартный порт опцией -p 11060 , например:

Ssh -p 11060 [email protected]

Оставить доступ только части пользователей

SSH подключение можно лимитировать для отдельных учетных записей, например если на сервере имеется три учетных записи: admin , sergey , alex - у Вас есть возможность разрешить удаленное подключение только для некоторых из них. Для этого откройте конфигурационный файл SSH :

В этом файле спуститесь стрелочками до последней строки и добавьте новую с таким содержанием:

AllowUsers admin alex

Сохраните конфигурацию "Ctrl +O " и выходите из редактора "Ctrl +X ".

Перезагрузите службу SSH :

Sudo service sshd restart

Этим самым Вы разрешили удалённый доступ для пользователей admin и alex , в то время как пользователь sergey удаленно подключиться уже не сможет.

Включите SSH protocol 2

По стандарту SSH работает в режиме версии 1, эта версия устарела и имеет множество уязвимостей но для обеспечения лучшей безопасности рекомендуем переключить работу в режим версии 2. Для этого откройте конфигурационный файл SSH :

Sudo nano /etc/ssh/ssh_config

Найдите строку:

# Protocol 2

Удалите символ # - чтобы убрать опцию комментария и задействовать эту строку, дожно получиться так:

Protocol 2

Сохраните конфигурацию "Ctrl +O " и выходите из редактора "Ctrl +X ".

Перезагрузите службу SSH :

Sudo service sshd restart

Отключить пустые пароли

По умолчанию SSH служба запрещает подключаться пользователям без паролей, но возможно у Вас на сервере эта опция отключена, поэтому откройте конфигурационный файл SSH :

Sudo nano /etc/ssh/ssh_config

Найдите строку PermitEmptyPasswords и убедитесь что стоит значение "no ".

PermitEmptyPasswords no

Включите подробный журнал

Чтобы служба SSH вела журнал неудачных подключений с указанием IP - адресов, откройте конфигурационный файл SSH :

Sudo nano /etc/ssh/ssh_config

Найдите строку LogLevel и вместо INFO укажите VERBOSE , строка должна получится так:

LogLevel VERBOSE

Сохраните файл "Ctrl +O " и выйдите из редактора "Ctrl +X ".

Перезагрузите службу SSH :

Sudo service sshd restart

Можно проверить, вводим команду:

Cat /var/log/secure

Система выведит нам информацию, примерно такую:

Jun 21 13:06:28 centos sshd: Failed password for root from 118.212.143.47 port 48263 ssh2

Тоесть по этой записи мы видим что была неудачная попытка проникновения на сервер с указанного адреса.

Спасибо за внимание, на этом всё.

SSH позволяет создать безопасное подключение к серверу, однако чтобы работать правильно, сам сервис SSH должен иметь доступ к интернету. Это создает вектор атаки для потенциальных взломщиков, следовательно, SSH нуждается в дополнительной защите.

В целом любой сервис с доступом к сети является потенциальной целью. В логах этих сервисов вы можете заметить повторяющиеся, систематические попытки входа в систему – это brute force атаки, совершаемые пользователями и ботами.

Сервис fail2ban может смягчить атаки с помощью правил, которые автоматически меняют конфигурацию брандмауэра iptables на основе предопределенного количества неудачных попыток входа в систему. Это позволит серверу своевременно реагировать на несанкционированный доступ без вмешательства администратора.

Данное руководство поможет установить и настроить fail2ban на сервере Ubuntu 14.04.

Установка fail2ban

Репозиторий Ubuntu предоставляет пакет fail2ban, потому его можно установить с помощью стандартного пакетного менеджера.

Обновите индекс пакетов и установите fail2ban с помощью этих команд:

sudo apt-get update
sudo apt-get install fail2ban

Теперь можно приступать к настройке утилиты.

Конфигурации fail2ban

Конфигурационные файлы fail2ban хранятся в каталоге /etc/fail2ban. Стандартные параметры можно найти в файле jail.conf.

Поскольку этот файл может быть изменен во время обновления пакета, не нужно редактировать его. Лучше скопировать его содержимое в другой файл и откорректировать параметры там. Чтобы эти два файла работали правильно, лучше всего оставить в новом файле только те параметры, которые нужно переопределить в файле jail.local. Все параметры по умолчанию будут читаться из файла jail.conf.

Скопируйте jail.conf и используйте его в качестве основы для файла jail.local. Для этого введите:

awk "{ printf "# "; print; }" /etc/fail2ban/jail.conf | sudo tee /etc/fail2ban/jail.local

После этого просмотрите jail.conf:

sudo nano /etc/fail2ban/jail.conf

Некоторые параметры можно обновить в этом файле. Параметры раздела будут применяться ко всем сервисам, которые поддерживает fail2ban (если только эти значения не переопределяются в конфигурационных файлах этих сервисов).

. . .
ignoreip = 127.0.0.1/8
. . .

Параметр ignoreip настраивает исходные адреса, которые fail2ban будет игнорировать. По умолчанию он пропускает любой трафик, поступающий с локальной машины. Вы можете добавить другие адреса, которые нужно игнорировать, поместив их в конец директивы ignoreip через пробел.

. . .
bantime = 600
. . .

Параметр bantime устанавливает время, в течение которого клиент будет заблокирован, если он не смог пройти аутентификацию. Его значение измеряется в секундах. По умолчанию установлено значение 600 секунд (10 минут).

. . .
findtime = 600
maxretry = 3
. . .

Следующие два параметра, на которые следует обратить внимание, — это findtime и maxretry. Вместе они определяют условия, при которых незаконные пользователи будут блокироваться.

Переменная maxretry задает количество попыток входа, а findtime – интервал времени, в течение которого пользователь должен пройти аутентификацию. Если клиент превысил любой из этих показателей, он будет заблокирован. По умолчанию сервис fail2ban блокирует клиентов, которые не смогли предоставить учетные данные 3 раза в течение 10 минут.

. . .
destemail = root@localhost
sendername = Fail2Ban
mta = sendmail
. . .

Параметры destemail, sendername и mta позволяют настроить оповещения по электронной почте. Параметр destemail определяет адрес электронной почты, который должен получать сообщения о заблокированных пользователях. Параметр sendername задает отправителя сообщения. Параметр mta определяет, какая почтовый сервис будет использоваться для отправки почты. Добавьте эти параметры в jail.local в раздел и установите соответствующие значения.

. . .
action = $(action_)s
. . .

Этот параметр настраивает действие fail2ban в случае блокировки. Значение action_ определено в файле немного до этого параметра. Действие по умолчанию заблокирует трафик злоумышленника до истечения времени бана путем перенастройки брандмауэра.

Если вы хотите настроить оповещения по электронной почте, добавьте или раскомментируйте элемент action в файл jail.local и измените его значение с action_ на action_mw. Если вы хотите, чтобы письмо включало соответствующие строки из логов, вы можете указать значение action_mwl. Если вы решили использовать электронные оповещения, убедитесь, что настройки почты их поддерживают.

Индивидуальные параметры

Поддержка отдельных сервисов включается в специальных одноименных разделах. Например, параметры сервиса ssh можно указать в разделе .

Каждый из этих разделов можно включить, раскомментировав заголовок раздела в jail.local и изменив значение строки enabled на «true»:

. . .
enabled = true
. . .

По умолчанию поддерживается только сервис SSH, а все остальные сервисы отключены.

Эти разделы используют в качестве основы значения, установленные в разделе , и по мере необходимости корректируют их. Чтобы переопределить любые значения, добавьте раздел для соответствующего сервиса в jail.local и измените его значения.

Также здесь устанавливаются некоторые другие параметры. Параметр filter помогает определить, указывает ли строка в логе на неудачную попытку аутентификации; параметр logpath сообщает fail2ban, где находятся логи этого конкретного сервиса.

Значение параметра filter является ссылкой на файл с расширением.conf, расположенный в каталоге /etc/fail2ban/filter.d. Эти файлы содержат регулярные выражения, которые определяют, является ли строка в логе сообщением о неудачной попытке аутентификации. Эти файлы выходят за рамки данного мануала, потому что они довольно сложны, а параметры по умолчанию вполне подойдут в большинстве случаев.

Просмотреть фильтры можно в этом каталоге:

ls /etc/fail2ban/filter.d

Найдите файл, связанный с требуемым сервисом, и откройте его с помощью текстового редактора. Большинство файлов достаточно хорошо закомментированы, и вы сможете ознакомиться со сценарием защиты сервиса. Большинство этих фильтров имеют соответствующие разделы в файле jail.conf (по умолчанию они отключены). Их можно включить в файле jail.local, если это необходимо.

Предположим, у вас есть сайт, который обслуживается с помощью Nginx. Логи веб-сервера постоянно пополняются неудачными попытками входа. Утилита fail2ban может использовать файл nginx-http-auth.conf, чтобы постоянно проверять /var/log/nginx/error.log.

Почти все необходимые для этого параметры уже есть в разделе в файле /etc/fail2ban/jail.conf. Вам нужно просто раскомментировать этот раздел в файле jail.local и указать значение true в параметре enabled.

. . .
enabled = true
. . .

После этого нужно перезапустить fail2ban.

Настройка fail2ban

Теперь вы знаете основы работы fail2ban. Попробуйте настроить политику автоматической блокировки для сервиса SSH и Nginx. Также нужно, чтобы инструмент fail2ban отправлял сообщения по электронной почте в случае блокировки IP-адреса.

Для начала установите необходимое ПО.

Вам понадобится nginx, так как fail2ban будет отслеживать его журналы, и sendmail для отправки уведомлений. Также нужен пакет iptables-persistent, чтобы сервер сохранял и автоматически загружал правила брандмауэра при загрузке сервера. Все эти пакеты можно скачать из стандартных репозиториев Ubuntu:

sudo apt-get update
sudo apt-get install nginx sendmail iptables-persistent

Остановите сервис fail2ban, чтобы настроить базовый брандмауэр.

Настройка брандмауэра

Базовый брандмауэр должен поддерживать установленные соединения, а также трафик, генерируемый самим сервером, и трафик, предназначенный для SSH и портов веб-сервера. Весь другой трафик будет блокироваться. Правила выглядят так:

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
sudo iptables -A INPUT -j DROP

Эти команды реализуют вышеуказанную политику. Чтобы просмотреть текущие правила брандмауэра, наберите:

sudo iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -i lo -j ACCEPT

-A INPUT -j DROP

Сохраните правила брандмауэра, чтобы они не потерялись после перезагрузки.

sudo dpkg-reconfigure iptables-persistent

Перезапустите fail2ban:

sudo service fail2ban start

Запросите правила брандмауэра:

sudo iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N fail2ban-ssh

-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -j DROP
-A fail2ban-ssh -j RETURN

Каждая цепочка теперь имеет свою политику по умолчанию. Также в брандмауэре есть пять базовых правил. Красным выделена структура fail2ban: этот инструмент уже применяет правила блокировки SSH. Иногда эта структура не отображается сначала, так как fail2ban может не добавить структуру до первой блокировки.

Настройка fail2ban

Теперь нужно добавить настройки fail2ban в файл jail.local:

sudo nano /etc/fail2ban/jail.local

Здесь можно установить более строгий интервал времени блокировки. Найдите и раскомментируйте заголовок . В этом разделе измените параметр bantime так, чтобы сервис блокировал клиента на полчаса:

. . .
bantime = 1800
. . .

Также необходимо настроить уведомления. Сначала найдите параметр destemail, который также должен находиться в разделе . Введите адрес электронной почты, который вы хотите использовать для сбора этих сообщений:

. . .
destemail = [email protected]
. . .

В sendername укажите любое удобное значение. Рекомендуется использовать здесь описательное значение, которое почтовый сервис сможет легко отфильтровать.

Затем нужно исправить значение action. Можно установить значение action_mw, которое блокирует клиента, а затем отправляет отчет «whois». Значение action_mwl делает то же самое, но также отправляет в сообщении соответствующие строки лога.

. . .
action = %(action_mwl)s
. . .

В разделе SSH в директиве maxretry можно изменить количество неудачных попыток аутентификации. Если вы используете нестандартный порт (не 22), укажите его в параметре port. Как говорилось ранее, этот сервер уже включен.

Затем найдите раздел nginx-http-auth. Раскомментируйте заголовок и измените значение параметра enabled на «true».

. . .

enabled = true
. . .

Это все, что нужно сделать в этом разделе, если веб-сервер использует стандартные порты и его логи хранятся в стандартном каталоге.

Перезапуск fail2ban

Сохраните и закройте файл.

Затем перезапустите сервис fail2ban. Иногда даже лучше остановить его, а затем запустить снова.

sudo service fail2ban stop
sudo service fail2ban start

На загрузку всех правил брандмауэра может потребоваться несколько минут. Иногда правила не добавляются до тех пор, пока не будет заблокирован первый клиент. Через некоторое время вы сможете проверить новые правила:

sudo iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N fail2ban-nginx-http-auth

-N fail2ban-ssh

-A INPUT -p tcp -m multiport --dports 80,443 -j fail2ban-nginx-http-auth

-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -j DROP
-A fail2ban-nginx-http-auth -j RETURN

-A fail2ban-ssh -j RETURN

Красным выделены строки, созданные политикой fail2ban. Сейчас они просто направляют трафик на новые, почти пустые цепочки, а затем пропускают поток трафика обратно в цепочку INPUT.

Правила блокировки будут добавлены в эти цепочки.

Тестирование политики блокировки

Теперь можно протестировать правила, подключившись с другого сервера, у которого нет учетных данных на сервере fail2ban.

Попробуйте создать SSH-подключение к серверу с помощью несуществующих учетных данных:

ssh blah@fail2ban_server_IP

Введите случайный набор символов в качестве пароля. Повторите несколько раз. В какой-то момент fail2ban запретит доступ и выведет сообщение «Permission denied».

Вернитесь на первый сервер и просмотрите новые правила iptables:

sudo iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N fail2ban-nginx-http-auth
-N fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 80,443 -j fail2ban-nginx-http-auth
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -j DROP
-A fail2ban-nginx-http-auth -j RETURN
-A fail2ban-ssh -s 203.0.113.14/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -j RETURN

Новое правило выделено красным. Оно блокирует трафик от IP-адреса второго сервера к порту SSH. Вскоре вы получите уведомление о блокировке клиента.

Заключение

Теперь вы знакомы с основами fail2ban и можете создать базовую конфигурацию этого инструмента.