Admin в 10:33, 15 октября 2025

2025-10-15T10:33:08Z

Admin: Новая страница: «= Настройка fail2ban для защиты от атак = == 1. Подготовка системы == * Войдите в систему под уче…»

2025-10-15T08:31:16Z

Новая страница: «= Настройка fail2ban для защиты от атак = == 1. Подготовка системы == * Войдите в систему под уче…»

Новая страница

= Настройка fail2ban для защиты от атак =

== 1. Подготовка системы ==

* Войдите в систему под учетной записью с правами '''root''' или пользователя с правами '''sudo'''.
* Убедитесь, что у вас есть доступ к серверу через SSH или консоль.

== 2. Установка fail2ban ===

=== Обновление системы ===

1. Обновите систему:
<code>sudo apt update</code>

2. Установите fail2ban:
<code>sudo apt install -y fail2ban</code>

3. Проверьте версию:
<code>fail2ban-client --version</code>

4. Запустите и включите автозапуск:
<code>sudo systemctl start fail2ban</code>
<code>sudo systemctl enable fail2ban</code>

5. Проверьте статус:
<code>sudo systemctl status fail2ban</code>

== 3. Базовая конфигурация ===

=== Создание конфигурационного файла ===

1. Создайте локальный конфигурационный файл:
<code>sudo nano /etc/fail2ban/jail.local</code>

2. Добавьте базовую конфигурацию:
<code>[DEFAULT]
# Игнорировать IP адреса
ignoreip = 127.0.0.1/8 ::1 192.168.1.0/24

# Время блокировки в секундах
bantime = 3600

# Время поиска в секундах
findtime = 600

# Максимальное количество попыток
maxretry = 3

# Backend для поиска в логах
backend = systemd

# Email уведомления
destemail = admin@example.com
sender = fail2ban@example.com
action = %(action_mwl)s
</code>

=== Настройка email уведомлений ===

1. Установите почтовый клиент:
<code>sudo apt install -y mailutils</code>

2. Настройте почту:
<code>sudo nano /etc/fail2ban/action.d/sendmail-common.conf</code>

3. Добавьте настройки:
<code>[Definition]
actionstart = printf %%b "Hi,\n
The jail <name> has been started successfully.\n
Regards,\n
Fail2Ban" | /usr/bin/mail -s "[Fail2Ban] <name>: started on <fq-hostname>" <dest>

actionstop = printf %%b "Hi,\n
The jail <name> has been stopped.\n
Regards,\n
Fail2Ban" | /usr/bin/mail -s "[Fail2Ban] <name>: stopped on <fq-hostname>" <dest>

actioncheck =

actionban = printf %%b "Hi,\n
The IP <ip> has just been banned by Fail2Ban after
<failures> attempts against <name>.\n
Regards,\n
Fail2Ban" | /usr/bin/mail -s "[Fail2Ban] <name>: banned <ip> from <fq-hostname>" <dest>

actionunban = printf %%b "Hi,\n
The IP <ip> has been unbanned by Fail2Ban from <name>.\n
Regards,\n
Fail2Ban" | /usr/bin/mail -s "[Fail2Ban] <name>: unbanned <ip> from <fq-hostname>" <dest>
</code>

== 4. Настройка защиты SSH ===

=== Базовая защита SSH ===

1. Добавьте в jail.local:
<code>[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600
findtime = 600
</code>

=== Расширенная защита SSH ===

1. Создайте фильтр для SSH:
<code>sudo nano /etc/fail2ban/filter.d/sshd.conf</code>

2. Добавьте правила:
<code>[Definition]
failregex = ^%(__prefix_line)s(?:error: PAM: )?[aA]uthentication (?:failure|error) for .* from <HOST>(?: port \d*)?(?: ssh\d*)?(?: on \S+)?\s*$
^%(__prefix_line)s(?:error: PAM: )?User not known to the underlying authentication module for .* from <HOST>\s*$
^%(__prefix_line)sFailed \w+ for .* from <HOST>(?: port \d*)?(?: ssh\d*)?(?: on \S+)?\s*$
^%(__prefix_line)sROOT LOGIN REFUSED.* from <HOST>\s*$
^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from <HOST>\s*$
^%(__prefix_line)sUser .* from <HOST> not allowed because not listed in AllowUsers\s*$
^%(__prefix_line)sauthentication failure; logname=\S* uid=\S* euid=\S* tty=\S* ruser=\S* rhost=<HOST>(?:\s+user=.*)?\s*$
^%(__prefix_line)srefused connect from <HOST>\s*$
^%(__prefix_line)sAddress <HOST> .* POSSIBLE BREAK-IN ATTEMPT!\s*$

ignoreregex =
</code>

3. Настройте jail для SSH:
<code>[sshd-ddos]
enabled = true
port = ssh
filter = sshd-ddos
logpath = /var/log/auth.log
maxretry = 6
bantime = 3600
findtime = 600
</code>

== 5. Защита веб-серверов ===

=== Защита Apache ===

1. Создайте фильтр для Apache:
<code>sudo nano /etc/fail2ban/filter.d/apache-auth.conf</code>

2. Добавьте правила:
<code>[Definition]
failregex = ^<HOST> -.*"(GET|POST).*HTTP.*" (401|403) .*$
^<HOST> -.*"(GET|POST).*HTTP.*" (400|404|500) .*$
^<HOST> -.*"GET.*HTTP.*" (200|301|302) .*".*".*$

ignoreregex =
</code>

3. Настройте jail для Apache:
<code>[apache-auth]
enabled = true
port = http,https
filter = apache-auth
logpath = /var/log/apache2/*error.log
maxretry = 3
bantime = 3600
findtime = 600

[apache-noscript]
enabled = true
port = http,https
filter = apache-noscript
logpath = /var/log/apache2/*access.log
maxretry = 3
bantime = 3600
findtime = 600

[apache-overflows]
enabled = true
port = http,https
filter = apache-overflows
logpath = /var/log/apache2/*error.log
maxretry = 3
bantime = 3600
findtime = 600
</code>

=== Защита Nginx ===

1. Создайте фильтр для Nginx:
<code>sudo nano /etc/fail2ban/filter.d/nginx-http-auth.conf</code>

2. Добавьте правила:
<code>[Definition]
failregex = ^<HOST> -.*"(GET|POST).*HTTP.*" (401|403) .*$
^<HOST> -.*"(GET|POST).*HTTP.*" (400|404|500) .*$

ignoreregex =
</code>

3. Настройте jail для Nginx:
<code>[nginx-http-auth]
enabled = true
port = http,https
filter = nginx-http-auth
logpath = /var/log/nginx/error.log
maxretry = 3
bantime = 3600
findtime = 600

[nginx-limit-req]
enabled = true
port = http,https
filter = nginx-limit-req
logpath = /var/log/nginx/error.log
maxretry = 3
bantime = 3600
findtime = 600
</code>

== 6. Защита баз данных ===

=== Защита MySQL ===

1. Создайте фильтр для MySQL:
<code>sudo nano /etc/fail2ban/filter.d/mysql-auth.conf</code>

2. Добавьте правила:
<code>[Definition]
failregex = ^.*\[Warning\].*Access denied for user '.*'@'<HOST>'.*$
^.*\[Warning\].*Access denied for user '.*'@'<HOST>'.*$
^.*\[Warning\].*Access denied for user '.*'@'<HOST>'.*$

ignoreregex =
</code>

3. Настройте jail для MySQL:
<code>[mysql-auth]
enabled = true
port = 3306
filter = mysql-auth
logpath = /var/log/mysql/error.log
maxretry = 3
bantime = 3600
findtime = 600
</code>

=== Защита PostgreSQL ===

1. Создайте фильтр для PostgreSQL:
<code>sudo nano /etc/fail2ban/filter.d/postgresql.conf</code>

2. Добавьте правила:
<code>[Definition]
failregex = ^.*FATAL: password authentication failed for user ".*" from <HOST>.*$
^.*FATAL: no pg_hba.conf entry for host "<HOST>", user ".*", database ".*", SSL off.*$

ignoreregex =
</code>

3. Настройте jail для PostgreSQL:
<code>[postgresql]
enabled = true
port = 5432
filter = postgresql
logpath = /var/log/postgresql/postgresql-*.log
maxretry = 3
bantime = 3600
findtime = 600
</code>

== 7. Защита почтовых серверов ===

=== Защита Postfix ===

1. Создайте фильтр для Postfix:
<code>sudo nano /etc/fail2ban/filter.d/postfix.conf</code>

2. Добавьте правила:
<code>[Definition]
failregex = ^.*HOST=<HOST>.*REJECT.*$
^.*HOST=<HOST>.*REJECT.*$
^.*HOST=<HOST>.*REJECT.*$

ignoreregex =
</code>

3. Настройте jail для Postfix:
<code>[postfix]
enabled = true
port = smtp,465,submission
filter = postfix
logpath = /var/log/mail.log
maxretry = 3
bantime = 3600
findtime = 600
</code>

=== Защита Dovecot ===

1. Создайте фильтр для Dovecot:
<code>sudo nano /etc/fail2ban/filter.d/dovecot.conf</code>

2. Добавьте правила:
<code>[Definition]
failregex = ^.*authentication failure.*rip=<HOST>.*$
^.*Login attempt.*rip=<HOST>.*$

ignoreregex =
</code>

3. Настройте jail для Dovecot:
<code>[dovecot]
enabled = true
port = pop3,pop3s,imap,imaps,submission,465,sieve
filter = dovecot
logpath = /var/log/mail.log
maxretry = 3
bantime = 3600
findtime = 600
</code>

== 8. Продвинутые настройки ===

=== Настройка whitelist ===

1. Добавьте в jail.local:
<code>[DEFAULT]
ignoreip = 127.0.0.1/8 ::1 192.168.1.0/24 10.0.0.0/8
</code>

2. Создайте файл whitelist:
<code>sudo nano /etc/fail2ban/ignoreip.local</code>

3. Добавьте IP адреса:
<code># Доверенные IP адреса
192.168.1.100
192.168.1.101
10.0.0.50
</code>

=== Настройка blacklist ===

1. Создайте файл blacklist:
<code>sudo nano /etc/fail2ban/blacklist.local</code>

2. Добавьте IP адреса:
<code># Заблокированные IP адреса
192.168.1.200
192.168.1.201
</code>

3. Настройте jail для blacklist:
<code>[blacklist]
enabled = true
port = ssh,http,https
filter = blacklist
logpath = /var/log/fail2ban.log
maxretry = 1
bantime = -1
findtime = 1
</code>

=== Настройка кастомных фильтров ===

1. Создайте кастомный фильтр:
<code>sudo nano /etc/fail2ban/filter.d/custom.conf</code>

2. Добавьте правила:
<code>[Definition]
failregex = ^.*<HOST>.*FAILED.*$
^.*<HOST>.*ERROR.*$
^.*<HOST>.*DENIED.*$

ignoreregex =
</code>

3. Настройте jail для кастомного фильтра:
<code>[custom]
enabled = true
port = ssh,http,https
filter = custom
logpath = /var/log/custom.log
maxretry = 3
bantime = 3600
findtime = 600
</code>

== 9. Мониторинг и управление ===

=== Просмотр статуса ===

1. '''Просмотр активных jail''':
<code>sudo fail2ban-client status</code>

2. '''Просмотр статуса конкретного jail''':
<code>sudo fail2ban-client status sshd</code>

3. '''Просмотр заблокированных IP''':
<code>sudo fail2ban-client status sshd</code>

=== Управление jail ===

1. '''Запуск jail''':
<code>sudo fail2ban-client start sshd</code>

2. '''Остановка jail''':
<code>sudo fail2ban-client stop sshd</code>

3. '''Перезапуск jail''':
<code>sudo fail2ban-client restart sshd</code>

4. '''Перезагрузка конфигурации''':
<code>sudo fail2ban-client reload</code>

=== Управление IP адресами ===

1. '''Разблокировка IP''':
<code>sudo fail2ban-client set sshd unbanip 192.168.1.100</code>

2. '''Блокировка IP''':
<code>sudo fail2ban-client set sshd banip 192.168.1.100</code>

3. '''Просмотр заблокированных IP''':
<code>sudo fail2ban-client get sshd banned</code>

== 10. Настройка логирования ===

=== Настройка логов fail2ban ===

1. Настройте логирование:
<code>sudo nano /etc/fail2ban/fail2ban.conf</code>

2. Измените параметры:
<code>loglevel = INFO
logtarget = /var/log/fail2ban.log
</code>

3. Настройте ротацию логов:
<code>sudo nano /etc/logrotate.d/fail2ban</code>

4. Добавьте конфигурацию:
<code>/var/log/fail2ban.log {
daily
missingok
rotate 52
compress
delaycompress
notifempty
create 644 root root
postrotate
systemctl reload fail2ban
endscript
}
</code>

=== Создание скрипта мониторинга ===

1. Создайте скрипт мониторинга:
<code>sudo nano /usr/local/bin/fail2ban-monitor.sh</code>

2. Добавьте содержимое:
<code>#!/bin/bash

# Проверка статуса fail2ban
if ! systemctl is-active --quiet fail2ban; then
echo "Fail2ban is down!" | mail -s "Fail2ban Alert" admin@example.com
fi

# Проверка количества заблокированных IP
BLOCKED_COUNT=$(sudo fail2ban-client status sshd | grep "Currently banned:" | awk '{print $4}')
if [ $BLOCKED_COUNT -gt 10 ]; then
echo "High number of blocked IPs: $BLOCKED_COUNT" | mail -s "Fail2ban Alert" admin@example.com
fi

# Проверка логов на ошибки
ERROR_COUNT=$(grep -c "ERROR" /var/log/fail2ban.log 2>/dev/null || echo 0)
if [ $ERROR_COUNT -gt 5 ]; then
echo "Fail2ban errors detected: $ERROR_COUNT" | mail -s "Fail2ban Alert" admin@example.com
fi
</code>

3. Сделайте скрипт исполняемым:
<code>sudo chmod +x /usr/local/bin/fail2ban-monitor.sh</code>

4. Добавьте в crontab:
<code>sudo crontab -e</code>

5. Добавьте задачу:
<code>*/5 * * * * /usr/local/bin/fail2ban-monitor.sh</code>

== 11. Настройка уведомлений ===

=== Настройка Slack уведомлений ===

1. Создайте Slack webhook:
<code>sudo nano /etc/fail2ban/action.d/slack.conf</code>

2. Добавьте конфигурацию:
<code>[Definition]
actionstart = curl -X POST -H 'Content-type: application/json' --data '{"text":"Fail2ban jail <name> started on <fq-hostname>"}' <slack_webhook_url>

actionstop = curl -X POST -H 'Content-type: application/json' --data '{"text":"Fail2ban jail <name> stopped on <fq-hostname>"}' <slack_webhook_url>

actioncheck =

actionban = curl -X POST -H 'Content-type: application/json' --data '{"text":"IP <ip> banned by Fail2ban after <failures> attempts against <name>"}' <slack_webhook_url>

actionunban = curl -X POST -H 'Content-type: application/json' --data '{"text":"IP <ip> unbanned by Fail2ban from <name>"}' <slack_webhook_url>
</code>

3. Настройте jail с Slack уведомлениями:
<code>[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600
findtime = 600
action = slack
</code>

=== Настройка Telegram уведомлений ===

1. Создайте Telegram бота и получите токен
2. Создайте конфигурацию:
<code>sudo nano /etc/fail2ban/action.d/telegram.conf</code>

3. Добавьте настройки:
<code>[Definition]
actionstart = curl -s -X POST "https://api.telegram.org/bot<bot_token>/sendMessage" -d chat_id=<chat_id> -d text="Fail2ban jail <name> started on <fq-hostname>"

actionstop = curl -s -X POST "https://api.telegram.org/bot<bot_token>/sendMessage" -d chat_id=<chat_id> -d text="Fail2ban jail <name> stopped on <fq-hostname>"

actioncheck =

actionban = curl -s -X POST "https://api.telegram.org/bot<bot_token>/sendMessage" -d chat_id=<chat_id> -d text="IP <ip> banned by Fail2ban after <failures> attempts against <name>"

actionunban = curl -s -X POST "https://api.telegram.org/bot<bot_token>/sendMessage" -d chat_id=<chat_id> -d text="IP <ip> unbanned by Fail2ban from <name>"
</code>

== 12. Устранение неполадок ===

=== Частые проблемы ===

1. '''Fail2ban не запускается''':
* Проверьте конфигурацию: <code>sudo fail2ban-client -t</code>
* Проверьте логи: <code>sudo journalctl -u fail2ban</code>
* Проверьте права доступа к файлам

2. '''Jail не работает''':
* Проверьте фильтры: <code>sudo fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf</code>
* Проверьте пути к логам
* Проверьте права доступа к логам

3. '''Ложные срабатывания''':
* Настройте whitelist
* Измените параметры maxretry и findtime
* Проверьте фильтры

=== Диагностика ===

1. '''Проверка статуса''':
<code>sudo systemctl status fail2ban</code>

2. '''Проверка конфигурации''':
<code>sudo fail2ban-client -t</code>

3. '''Тестирование фильтров''':
<code>sudo fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf</code>

4. '''Проверка логов''':
<code>sudo tail -f /var/log/fail2ban.log</code>

5. '''Проверка iptables''':
<code>sudo iptables -L -n</code>

== Заключение ==

Fail2ban успешно настроен и готов к работе! Теперь у вас есть мощная защита от атак с возможностями мониторинга, уведомлений и гибкой настройки.

'''Для размещения ваших защищенных серверов на надежном хостинге рекомендуем воспользоваться услугами [ARK-HOSTER.RU](https://ark-hoster.ru):'''

* '''[Выделенные серверы](https://ark-hoster.ru/dedicated/)''' - для критически важных серверов с повышенной защитой
* '''[VPS/VDS серверы](https://ark-hoster.ru/vpsgame/)''' - для небольших и средних проектов

Наши специалисты помогут с настройкой fail2ban и обеспечением безопасности ваших серверов!

Настройка fail2ban для защиты от атак - История изменений

Admin в 10:33, 15 октября 2025

Admin: Новая страница: «= Настройка fail2ban для защиты от атак = == 1. Подготовка системы == * Войдите в систему под уче…»