നിങ്ങളുടെ Linux സെർവർ സുരക്ഷിതമാക്കാൻ Fail2ban എങ്ങനെ ഉപയോഗിക്കാം

ഒരു ലിനക്സ് സെർവർ മാനേജുചെയ്യുമ്പോൾ നിങ്ങളുടെ സെർവർ സുരക്ഷ മെച്ചപ്പെടുത്തുന്നത് നിങ്ങളുടെ മുൻuഗണനകളിൽ ഒന്നായിരിക്കണം. നിങ്ങളുടെ സെർവർ ലോഗുകൾ അവലോകനം ചെയ്യുന്നതിലൂടെ, ബ്രൂട്ട് ഫോഴ്uസ് ലോഗിൻ, വെബ് ഫ്uളഡ്, എക്uപ്ലോയിറ്റ് സീക്കിംഗ് എന്നിവയ്uക്കായുള്ള വ്യത്യസ്ത ശ്രമങ്ങൾ നിങ്ങൾ പലപ്പോഴും കണ്ടെത്തിയേക്കാം.

fail2ban പോലുള്ള നുഴഞ്ഞുകയറ്റ പ്രതിരോധ സോഫ്റ്റ്uവെയർ ഉപയോഗിച്ച്, നിങ്ങൾക്ക് നിങ്ങളുടെ സെർവർ ലോഗുകൾ പരിശോധിക്കുകയും പ്രശ്നമുള്ള IP വിലാസങ്ങൾ തടയുന്നതിന് അധിക iptables നിയമങ്ങൾ ചേർക്കുകയും ചെയ്യാം.

ഈ ട്യൂട്ടോറിയൽ എങ്ങനെ fail2ban ഇൻസ്റ്റാൾ ചെയ്യാമെന്നും നിങ്ങളുടെ Linux സിസ്റ്റത്തെ ബ്രൂട്ട്-ഫോഴ്uസ് ആക്രമണങ്ങളിൽ നിന്ന് സംരക്ഷിക്കുന്നതിനുള്ള അടിസ്ഥാന കോൺഫിഗറേഷൻ സജ്ജീകരിക്കാമെന്നും കാണിക്കും.

Fail2ban പൈത്തണിലാണ് എഴുതിയിരിക്കുന്നത്, പൈത്തൺ ഇൻസ്റ്റാൾ ചെയ്തിരിക്കുക എന്നതാണ് ഏക ആവശ്യം:

  • Fail2ban ബ്രാഞ്ചിന് 0.9.x-ന് Python >=2.6 അല്ലെങ്കിൽ Python >=3.2
  • Fail2ban ബ്രാഞ്ചിന് 0.8.x-ന് പൈത്തൺ ആവശ്യമാണ് >=2.4
  • നിങ്ങളുടെ സിസ്റ്റത്തിലേക്കുള്ള റൂട്ട് ആക്സസ്
  • ഓപ്ഷണലായി, iptables അല്ലെങ്കിൽ showwall, sendmail

Linux സിസ്റ്റങ്ങളിൽ Fail2Ban എങ്ങനെ ഇൻസ്റ്റാൾ ചെയ്യാം

Fail2ban ഇൻസ്റ്റാൾ ചെയ്യുന്നത് താരതമ്യേന എളുപ്പമാണ്:

ആദ്യം, നിങ്ങളുടെ പാക്കേജുകൾ അപ്ഡേറ്റ് ചെയ്യുക, Epel റിപ്പോസിറ്ററി പ്രവർത്തനക്ഷമമാക്കുക, കാണിച്ചിരിക്കുന്നതുപോലെ fail2ban ഇൻസ്റ്റാൾ ചെയ്യുക.

# yum update
# yum install epel-release
# yum install fail2ban

ആദ്യം, നിങ്ങളുടെ പാക്കേജുകൾ അപ്ഡേറ്റ് ചെയ്ത് കാണിച്ചിരിക്കുന്നതുപോലെ fail2ban ഇൻസ്റ്റാൾ ചെയ്യുക.

# apt-get update && apt-get upgrade -y
# apt-get install fail2ban

ഓപ്ഷണലായി, നിങ്ങൾക്ക് മെയിൽ പിന്തുണ പ്രവർത്തനക്ഷമമാക്കണമെങ്കിൽ (മെയിൽ അറിയിപ്പുകൾക്കായി), നിങ്ങൾക്ക് സെൻഡ്മെയിൽ ഇൻസ്റ്റാൾ ചെയ്യാം.

# yum install sendmail                   [On CentOS/RHEL]
# apt-get install sendmail-bin sendmail  [On Debian/Ubuntu]

Fail2ban, sendmail എന്നിവ പ്രവർത്തനക്ഷമമാക്കാൻ ഇനിപ്പറയുന്ന കമാൻഡുകൾ ഉപയോഗിക്കുക:

# systemctl start fail2ban
# systemctl enable fail2ban
# systemctl start sendmail
# systemctl enable sendmail

Linux സിസ്റ്റങ്ങളിൽ Fail2ban എങ്ങനെ കോൺഫിഗർ ചെയ്യാം

സ്ഥിരസ്ഥിതിയായി, fail2ban ആദ്യം വായിക്കുന്ന .conf ഫയലുകൾ /etc/fail2ban/ ഉപയോഗിക്കുന്നു. എന്നിരുന്നാലും, അതേ ഡയറക്uടറിയിൽ സ്ഥിതി ചെയ്യുന്ന .local ഫയലുകൾക്ക് അവ അസാധുവാക്കാനാകും.

അതിനാൽ, .local ഫയലിൽ .conf ഫയലിൽ നിന്നുള്ള എല്ലാ ക്രമീകരണങ്ങളും ഉൾപ്പെടുത്തേണ്ടതില്ല, എന്നാൽ നിങ്ങൾ അസാധുവാക്കാൻ ആഗ്രഹിക്കുന്നവ മാത്രം. .conf എന്നതിൽ അല്ല, .local ഫയലുകളിലാണ് മാറ്റങ്ങൾ വരുത്തേണ്ടത്. fail2ban പാക്കറ്റ് അപ്uഗ്രേഡ് ചെയ്യുമ്പോൾ ഇത് തിരുത്തിയെഴുതുന്നത് തടയും.

ഈ ട്യൂട്ടോറിയലിന്റെ ആവശ്യത്തിനായി, ഞങ്ങൾ നിലവിലുള്ള fail2ban.conf ഫയൽ fail2ban.local എന്നതിലേക്ക് പകർത്തും.

# cp /etc/fail2ban/fail2ban.conf /etc/fail2ban/fail2ban.local

ഇപ്പോൾ നിങ്ങളുടെ പ്രിയപ്പെട്ട ടെക്സ്റ്റ് എഡിറ്റർ ഉപയോഗിച്ച് .local ഫയലിൽ മാറ്റങ്ങൾ വരുത്താം. നിങ്ങൾക്ക് എഡിറ്റുചെയ്യാനാകുന്ന മൂല്യങ്ങൾ ഇവയാണ്:

  • ലോഗ് ലെവൽ - ലോഗ് ചെയ്യേണ്ട വിശദാംശങ്ങളുടെ തലമാണിത്. സാധ്യമായ ഓപ്ഷനുകൾ ഇവയാണ്:
    • നിർണ്ണായക
    • പിശക്
    • മുന്നറിയിപ്പ്
    • അറിയിപ്പ്
    • വിവരങ്ങൾ
    • ഡീബഗ്

    • STDOUT - ഏതെങ്കിലും ഡാറ്റ ഔട്ട്പുട്ട് ചെയ്യുക
    • STDERR - ഏതെങ്കിലും പിശകുകൾ ഔട്ട്പുട്ട് ചെയ്യുക
    • SYSLOG - സന്ദേശം അടിസ്ഥാനമാക്കിയുള്ള ലോഗിംഗ്
    • ഫയൽ - ഒരു ഫയലിലേക്കുള്ള ഔട്ട്പുട്ട്

    fail2ban-ലെ ഏറ്റവും പ്രധാനപ്പെട്ട ഫയലുകളിലൊന്നാണ് നിങ്ങളുടെ ജയിലുകളെ നിർവചിക്കുന്ന jail.conf. ഇവിടെയാണ് fail2ban പ്രവർത്തനക്ഷമമാക്കേണ്ട സേവനങ്ങൾ നിങ്ങൾ നിർവചിക്കുന്നത്.

    ഞങ്ങൾ നേരത്തെ സൂചിപ്പിച്ചതുപോലെ, അപ്uഗ്രേഡ് ചെയ്യുമ്പോൾ .conf ഫയലുകൾ മാറ്റാൻ കഴിയും, അതിനാൽ നിങ്ങളുടെ പരിഷ്uക്കരണങ്ങൾ പ്രയോഗിക്കാൻ കഴിയുന്ന ഒരു jail.local ഫയൽ നിങ്ങൾ സൃഷ്uടിക്കണം.

    ഇതിനുള്ള മറ്റൊരു മാർഗ്ഗം .conf ഫയൽ ഇതുപയോഗിച്ച് പകർത്തുക എന്നതാണ്:

    # cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

    നിങ്ങൾ CentOS അല്ലെങ്കിൽ Fedora ഉപയോഗിക്കുകയാണെങ്കിൽ, നിങ്ങൾ jail.local-ലെ ബാക്കെൻഡ് \auto എന്നതിൽ നിന്ന് \systemd എന്നതിലേക്ക് മാറ്റേണ്ടതുണ്ട്.

    നിങ്ങൾ ഉബുണ്ടു/ഡെബിയൻ ആണ് ഉപയോഗിക്കുന്നതെങ്കിൽ, അവരും systemd ഉപയോഗിക്കുന്നുണ്ടെങ്കിലും ഈ മാറ്റം വരുത്തേണ്ട ആവശ്യമില്ല.

    Debian, Ubuntu എന്നിവയ്uക്കായി ജയിൽ ഫയൽ സ്ഥിരസ്ഥിതിയായി SSH പ്രവർത്തനക്ഷമമാക്കും, പക്ഷേ CentOS-ൽ അല്ല. നിങ്ങൾക്ക് ഇത് പ്രവർത്തനക്ഷമമാക്കണമെങ്കിൽ, /etc/fail2ban/jail.local എന്നതിൽ ഇനിപ്പറയുന്ന വരി മാറ്റുക:

    [sshd]
enabled = true

    ഒരു IP വിലാസം തടഞ്ഞതിന് ശേഷമുള്ള സാഹചര്യം നിങ്ങൾക്ക് ക്രമീകരിക്കാൻ കഴിയും. അതിനായി, fail2ban bantime, findtime, maxretry എന്നിവ ഉപയോഗിക്കുന്നു.

    • ബാന്ടൈം - ഇത് ഒരു IP വിലാസം നിരോധിക്കപ്പെടുന്ന സെക്കൻഡുകളുടെ എണ്ണമാണ് (സ്ഥിരസ്ഥിതി 10 മിനിറ്റ്).
    • കണ്ടെത്തൽ സമയം - ഹോസ്റ്റ് നിരോധിക്കുന്നതിന് മുമ്പുള്ള ലോഗിൻ ശ്രമങ്ങൾക്കിടയിലുള്ള സമയം. (സ്ഥിരസ്ഥിതി 10 മിനിറ്റ്). മറ്റൊരു വിധത്തിൽ പറഞ്ഞാൽ, 3 പരാജയപ്പെട്ട ലോഗിൻ ശ്രമങ്ങൾക്ക് ശേഷം ഒരു IP വിലാസം തടയാൻ fail2ban സജ്ജീകരിച്ചിട്ടുണ്ടെങ്കിൽ, ആ 3 ശ്രമങ്ങളും കണ്ടെത്തുന്ന സമയത്തിനുള്ളിൽ (10 മിനിറ്റ്) ചെയ്യണം.
    • maxretry - ഒരു നിരോധനം പ്രയോഗിക്കുന്നതിന് മുമ്പ് നടത്തേണ്ട ശ്രമങ്ങളുടെ എണ്ണം. (ഡിഫോൾട്ട് 3).

    തീർച്ചയായും, നിങ്ങൾ ചില IP വിലാസങ്ങൾ വൈറ്റ്uലിസ്റ്റ് ചെയ്യാൻ ആഗ്രഹിക്കും. അത്തരം IP വിലാസങ്ങൾ കോൺഫിഗർ ചെയ്യുന്നതിന് നിങ്ങളുടെ പ്രിയപ്പെട്ട ടെക്സ്റ്റ് എഡിറ്റർ ഉപയോഗിച്ച് /etc/fail2ban/jail.local തുറന്ന് ഇനിപ്പറയുന്ന വരി അൺകമന്റ് ചെയ്യുക:

    ignoreip = 127.0.0.1/8  ::1

    തുടർന്ന്, നിങ്ങൾ അവഗണിക്കാൻ ആഗ്രഹിക്കുന്ന ഐപി വിലാസങ്ങൾ നിങ്ങൾക്ക് നൽകാം. IP വിലാസങ്ങൾ സ്uപെയ്uസിൽ നിന്നോ കോമയിൽ നിന്നോ വേർതിരിക്കണം.

    ഇവന്റിൽ നിങ്ങൾക്ക് മെയിൽ അലേർട്ടുകൾ ലഭിക്കണമെങ്കിൽ, നിങ്ങൾ ഇനിപ്പറയുന്ന ക്രമീകരണങ്ങൾ /etc/fail2ban/jail.local-ൽ കോൺഫിഗർ ചെയ്യേണ്ടതുണ്ട്:

    • destemail – മെയിൽ വിലാസം, അവിടെ നിങ്ങൾക്ക് അറിയിപ്പ് ലഭിക്കും.
    • അയക്കുന്നയാളുടെ പേര് - സന്ദേശം ലഭിക്കുമ്പോൾ നിങ്ങൾ കാണുന്ന അയച്ചയാളാണ്.
    • അയക്കുന്നയാൾ - fail2ban ഇമെയിലുകൾ അയയ്uക്കുന്ന ഇമെയിൽ വിലാസം.

    ഡിഫോൾട്ട് mta (മെയിൽ ട്രാൻസ്ഫർ ഏജന്റ്) അയയ്uക്കാൻ സജ്ജീകരിച്ചിരിക്കുന്നു.

    മെയിൽ അറിയിപ്പുകൾ ലഭിക്കുന്നതിന്, നിങ്ങൾ \ആക്ഷൻ ക്രമീകരണവും ഇതിൽ നിന്ന് മാറ്റേണ്ടതുണ്ട്:

    Action = %(action_)s

    ഇവയിലൊന്നിലേക്ക്:

    action = %(action_mw)s
action = %(action_mwl)s

    • %(action_mw)s – ഹോസ്റ്റിനെ നിരോധിക്കുകയും ഹൂയിസ് റിപ്പോർട്ട് സഹിതം ഒരു മെയിൽ അയയ്ക്കുകയും ചെയ്യും.
    • %(action_mwl)s – ഹോസ്റ്റിനെ നിരോധിക്കുകയും ലോഗ് ഫയലിൽ നിന്ന് ഹൂസ് വിവരവും പ്രസക്തമായ എല്ലാ വിവരങ്ങളും നൽകുകയും ചെയ്യും.

    അധിക Fail2ban ജയിൽ കോൺഫിഗറേഷൻ

    ഇതുവരെ ഞങ്ങൾ അടിസ്ഥാന കോൺഫിഗറേഷൻ ഓപ്ഷനുകൾ പരിശോധിച്ചു. നിങ്ങൾക്ക് ഒരു ജയിൽ കോൺഫിഗർ ചെയ്യണമെങ്കിൽ jail.local ഫയലിൽ അത് പ്രവർത്തനക്ഷമമാക്കേണ്ടതുണ്ട്. വാക്യഘടന വളരെ ലളിതമാണ്:

    [jail_to_enable]
. . .
enabled = true

    നിങ്ങൾ യഥാർത്ഥ ജയിൽ ഉപയോഗിച്ച് jail_to_enable മാറ്റിസ്ഥാപിക്കേണ്ടിടത്ത്, ഉദാഹരണത്തിന്, \sshd. jail.local ഫയലിൽ, ഇനിപ്പറയുന്ന മൂല്യങ്ങൾ ssh സേവനത്തിനായി മുൻകൂട്ടി നിശ്ചയിക്കും:

    [sshd]

port = ssh
logpath = %(sshd_log)s

    ലോഗിലെ ഒരു വരി പരാജയപ്പെട്ടതാണോ എന്ന് തിരിച്ചറിയാൻ സഹായിക്കുന്ന ഫിൽട്ടർ നിങ്ങൾക്ക് പ്രവർത്തനക്ഷമമാക്കാം. ഫിൽട്ടർ മൂല്യം യഥാർത്ഥത്തിൽ .conf എന്നതിന് ശേഷം സേവന നാമമുള്ള ഒരു ഫയലിന്റെ റഫറൻസാണ്. ഉദാഹരണത്തിന്: /etc/fail2ban/filter.d/sshd.conf.

    വാക്യഘടന ഇതാണ്:

    filter = service

    ഉദാഹരണത്തിന്:

    filter = sshd

    നിങ്ങൾക്ക് ഇനിപ്പറയുന്ന ഡയറക്uടറിയിൽ നിലവിലുള്ള ഫിൽട്ടറുകൾ അവലോകനം ചെയ്യാം: /etc/fail2ban/filter.d/.

    നിലവിലെ കോൺഫിഗറേഷൻ അവലോകനം ചെയ്യുന്നതിനും മാറ്റുന്നതിനും ഉപയോഗിക്കാവുന്ന ഒരു ക്ലയന്റുമായി Fail2ban വരുന്നു. ഇത് നിരവധി ഓപ്ഷനുകൾ നൽകുന്നതിനാൽ, നിങ്ങൾക്ക് ഇനിപ്പറയുന്നവ ഉപയോഗിച്ച് അതിന്റെ മാനുവൽ പരിശോധിക്കാം:

    # man fail2ban-client

    നിങ്ങൾക്ക് ഉപയോഗിക്കാവുന്ന ചില അടിസ്ഥാന കമാൻഡുകൾ ഇവിടെ കാണാം. fail2ban-ന്റെ നിലവിലെ അവസ്ഥ അവലോകനം ചെയ്യാൻ അല്ലെങ്കിൽ പ്രത്യേക ജയിലിൽ, നിങ്ങൾക്ക് ഇവ ഉപയോഗിക്കാം:

    # fail2ban-client status

    ഫലം ഇതുപോലെ കാണപ്പെടും:

    വ്യക്തിഗത ജയിലിൽ, നിങ്ങൾക്ക് പ്രവർത്തിപ്പിക്കാം:

    # fail2ban-client status sshd

    താഴെയുള്ള സ്ക്രീൻഷോട്ടിൽ, ഞാൻ ഒന്നിലധികം ലോഗിനുകൾ മനഃപൂർവ്വം പരാജയപ്പെട്ടതായി നിങ്ങൾ കാണും, അതിനാൽ ഞാൻ ബന്ധിപ്പിക്കാൻ ശ്രമിച്ച IP വിലാസം fail2ban-ന് തടയാൻ കഴിയും:

    നിങ്ങളുടെ Linux സിസ്റ്റത്തിന് അധിക സുരക്ഷ നൽകുന്ന മികച്ചതും നന്നായി രേഖപ്പെടുത്തപ്പെട്ടതുമായ നുഴഞ്ഞുകയറ്റ പ്രതിരോധ സംവിധാനമാണ് Fail2ban. അതിന്റെ സജ്ജീകരണവും വാക്യഘടനയും ഉപയോഗിക്കുന്നതിന് ഇതിന് കുറച്ച് സമയമെടുക്കും, എന്നാൽ നിങ്ങൾ അത് പരിചയപ്പെട്ടുകഴിഞ്ഞാൽ, അതിന്റെ നിയമങ്ങൾ മാറ്റാനും വിപുലീകരിക്കാനും നിങ്ങൾക്ക് മടിക്കേണ്ടതില്ല.