Защита SSH от подбора пароля. Fail2ban

[Admin]

Fail2ban анализирует логи служб, работающих на сервере, и при обнаружении подозрительной активности блокирует IP-адреса возможных злоумышленников. Fail2ban может использоваться для защиты Apache, FTP, dovecot и многих других сервисов.

В рамках этой статьи мы рассмотрим базовую настройку Fail2ban для защиты службы SSH от подбора пароля.

Для установки Fail2ban на Ubuntu/Debian выполните:

Код: Выделить всё

sudo apt update 
sudo apt install fail2ban -y

Для установки на CentOS:

Код: Выделить всё

sudo yum update && yum install epel-release
sudo yum install fail2ban

Добавьте Fail2ban в автозагрузку:

Код: Выделить всё

sudo systemctl enable fail2ban

На Ubuntu защита для SSH начнет работать сразу после установки. По умолчанию Fail2ban будет на 10 минут блокировать IP-адреса, с которых в течение 10 минут было выполнено 5 неудачных попыток авторизации.

Эти и другие параметры работы утилиты можно изменить в ее настройках.
Конфигурационный файл Fail2ban

Настройки Fail2ban хранятся в конфигурационном файле /etc/fail2ban/jail.conf.

Настройки разделены по секциям. В [DEFAULT] указываются общие параметры, которые определяют работу Fail2ban в целом и применяются для большинства служб. Специфические настройки для той или иной службы прописываются внутри соответствующей секции (например, [sshd], [apache-auth], [vsftpd]).

Менять какие-либо параметры напрямую в файле jail.conf не рекомендуется. Вместо этого необходимо создать новый файл jail.local, разместив его в той же директории.

Можно либо сделать копию оригинального файла (может быть удобно, если вы планируете настроить Fail2ban для защиты нескольких служб, не только SSH):

Код: Выделить всё

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Либо создать пустой файл с таким именем и внести нужные параметры в него:

Код: Выделить всё

sudo touch /etc/fail2ban/jail.local

В новом файле будет достаточно указать только те настройки, значения которых вы хотите изменить: для всех параметров, которые вы не пропишете отдельно, Fail2ban будет применять значения по умолчанию.
Настройка защиты SSH

Откройте файл jail.local для редактирования:

Код: Выделить всё

sudo nano /etc/fail2ban/jail.local

Пример настроек, которые можно добавить в файл:

Код: Выделить всё

[DEFAULT]
ignoreip = 99.999.99.99
[sshd]  
enabled  = true  
findtime = 120  
maxretry = 3  
bantime = 43200

Такая настройка означает, что если с какого-либо IP-адреса, за исключением указанного в ignoreip, в течение 2 минут будут выполнены 3 неудачные попытки авторизоваться, Fail2ban заблокирует этот адрес на 12 часов.

В секции DEFAULT могут быть указаны такие параметры, как период блокировки (bantime), количество попыток (maxretry) и пр., но в рамках данной инструкции мы пропишем большинство настроек в отдельной секции для SSH, а в раздел DEFAULT включим только параметр ignoreip:

ignoreip — это «белый список» IP-адресов, то есть те адреса, которые не будут заблокированы при неудачных попытках подключения. Здесь можно прописать ваш собственный IP (если он статический, а не динамический), с которого вы подключаетесь к серверу. Можно указать несколько адресов через пробел или маску подсети.

Если вам не требуется белый список, строку можно просто закомментировать, указав перед ней #.

В секции [sshd] указываются настройки для работы Fail2ban с конкретной службой — SSH. В зависимости от системы, секция может называться [sshd], [ssh] или [ssh-iptables] (можно проверить в файле jail.conf).

Как упоминалось выше, при отсутствии того или иного параметра в этом файле, Fail2ban будет использовать значения по умолчанию. Соответственно, указать требуется только те настройки, значения которых нужно изменить.

Здесь мы прописали параметры:

enabled — обязательный параметр, определяющий включение или отключение секции. Для включения должно быть установлено значение true, оно указано по умолчанию. Обратите внимание, что в CentOS этот параметр по умолчанию закомментирован. Если вы работаете с копией основного файла jail.conf, не забудьте раскомментировать эту строку (убрать #), чтобы активировать секцию;
bantime — продолжительность бана в секундах, то есть период, на который подозрительный IP-адрес будет заблокирован;
maxretry — количество неудачных попыток в течение периода findtime, после которых будет выполнена блокировка;
findtime — период в секундах, в течение которого действие (в данном случае — неудачная попытка подключения) должно повториться определенное количество раз (maxretry), после чего будет выполнена блокировка.

Дополнительно могут быть настроены и другие параметры, например:

port — порт, используемый службой, в данном случае SSH. Если SSH у вас работает на нестандартном порту (то есть не 22), пропишите его здесь. Если порт стандартный, указывать эту настройку необязательно.
logpath — путь к файлу лога, который анализирует Fail2ban. По умолчанию это стандартный путь к логу sshd.
action — выполняемое действие при блокировке IP. По умолчанию выполняется блок подозрительного IP путем изменения правил iptables.
Чтобы заблокировать все порты для этого IP, можно использовать: action = iptables-allports.
Если на сервере настроен firewalld или ufw, то для фильтрации с их помощью нужно указать соответствующее значение для action: firewallcmd-ipset и ufw, соответственно.

Полный список действий доступен в /etc/fail2ban/action.d.

После сохранения изменений перезапустите Fail2ban:

Код: Выделить всё

sudo systemctl restart fail2ban.service

Проверка

После настройки Fail2ban имеет смысл проверить его работу. Лучше делать это не сразу, а спустя пару часов после сохранения настроек, тогда результат будет более наглядным.

Просмотреть заблокированные IP-адреса можно в iptables:

Код: Выделить всё

sudo iptables -L

Также, можно вывести логи работы Fail2ban:

Код: Выделить всё

sudo tail /var/log/fail2ban.log

Информацию можно получить и из интерфейса Fail2ban:

Код: Выделить всё

sudo fail2ban-client status sshd