Защита сервера от перебора паролей. Установка и настройка Fail2ban

Защита сервера, fail2banЕсли вы посмотрите лог аутентификации сервера /var/log/auth.log вы увидите, что там частые неудачные попытки авторизации на сервер, под разными именами или только под root, боты постоянно щупают сервера на слабость защиты. Есть вероятность что все таки подберут пароль, а так же их обращения негативно влияют на производительность сервера и увеличивают логи. Чтобы этого избежать поставьте простую программу fail2ban, это займет не больше чем 5 минут, она при трех неудачных попытках подбора пароля злоумышленником будет блокировать его доступ к серверу, на определенное вами время.
В консоли наберите
apt-get install fail2ban

дальше откройте файл /etc/fail2ban/jail.conf
измените параметры:
bantime  = 21600

это время в секундах на сколько блокировать хулигана, меньше чем 6 часов ставить смысла нет, лучше больше, но главное не переборщить, иначе если вы ошибетесь с паролем 3 раза вас так же заблокирует. Если у вас белый ip адрес можете прописать в параметр
ignoreip = 123.143.33.133

и вас не будет блокировать.
Вы можете так же изменить количество доступных попыток неудачных попыток авторизации, за это отвечает параметр
maxretry = 3

По умолчанию, проверяет только неудачные авторизации через ssh, но вы можете посмотреть конфиг дальше и увидеть, что эта программа может защитить и от других видов атак, для начала защиты ssh будет достаточно, но если захотите включить другие защиты в их секции поставьте параметр enabled в значение true.
enabled = true

Вообще лучше всего авторизовываться на сервере по ключу, если интересно могу написать как это сделать.
После всех настроек, перезапустите сервис
/etc/init.d/fail2ban restart

На следующий день посмотрите лог /var/log/fail2ban.log и увидите какие ip пытались перебрать пароли, когда были забанены и разбанены по истечении времени.
Спасибо за внимание.

0 комментариев

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.