Настройка fail2ban для защиты от атак
Содержание
- 1 Настройка fail2ban для защиты от атак
- 1.1 1. Подготовка системы
- 1.2 2. Установка fail2ban =
- 1.3 3. Базовая конфигурация =
- 1.4 4. Настройка защиты SSH =
- 1.5 5. Защита веб-серверов =
- 1.6 6. Защита баз данных =
- 1.7 7. Защита почтовых серверов =
- 1.8 8. Продвинутые настройки =
- 1.9 9. Мониторинг и управление =
- 1.10 10. Настройка логирования =
- 1.11 11. Настройка уведомлений =
- 1.12 12. Устранение неполадок =
- 1.13 Заключение
Настройка fail2ban для защиты от атак
1. Подготовка системы
- Войдите в систему под учетной записью с правами root или пользователя с правами sudo.
- Убедитесь, что у вас есть доступ к серверу через SSH или консоль.
2. Установка fail2ban =
Обновление системы
1. Обновите систему:
sudo apt update
2. Установите fail2ban:
sudo apt install -y fail2ban
3. Проверьте версию:
fail2ban-client --version
4. Запустите и включите автозапуск:
sudo systemctl start fail2ban
sudo systemctl enable fail2ban
5. Проверьте статус:
sudo systemctl status fail2ban
3. Базовая конфигурация =
Создание конфигурационного файла
1. Создайте локальный конфигурационный файл:
sudo nano /etc/fail2ban/jail.local
2. Добавьте базовую конфигурацию:
[DEFAULT]
- Игнорировать IP адреса
ignoreip = 127.0.0.1/8 ::1 192.168.1.0/24
- Время блокировки в секундах
bantime = 3600
- Время поиска в секундах
findtime = 600
- Максимальное количество попыток
maxretry = 3
- Backend для поиска в логах
backend = systemd
- Email уведомления
destemail = admin@example.com
sender = fail2ban@example.com
action = %(action_mwl)s
Настройка email уведомлений
1. Установите почтовый клиент:
sudo apt install -y mailutils
2. Настройте почту:
sudo nano /etc/fail2ban/action.d/sendmail-common.conf
3. Добавьте настройки:
[Definition]
actionstart = printf %%b "Hi,\n
The jail <name> has been started successfully.\n
Regards,\n
Fail2Ban" | /usr/bin/mail -s "[Fail2Ban] <name>: started on <fq-hostname>" <dest>
actionstop = printf %%b "Hi,\n
The jail <name> has been stopped.\n
Regards,\n
Fail2Ban" | /usr/bin/mail -s "[Fail2Ban] <name>: stopped on <fq-hostname>" <dest>
actioncheck =
actionban = printf %%b "Hi,\n
The IP <ip> has just been banned by Fail2Ban after
<failures> attempts against <name>.\n
Regards,\n
Fail2Ban" | /usr/bin/mail -s "[Fail2Ban] <name>: banned <ip> from <fq-hostname>" <dest>
actionunban = printf %%b "Hi,\n
The IP <ip> has been unbanned by Fail2Ban from <name>.\n
Regards,\n
Fail2Ban" | /usr/bin/mail -s "[Fail2Ban] <name>: unbanned <ip> from <fq-hostname>" <dest>
4. Настройка защиты SSH =
Базовая защита SSH
1. Добавьте в jail.local:
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600
findtime = 600
Расширенная защита SSH
1. Создайте фильтр для SSH:
sudo nano /etc/fail2ban/filter.d/sshd.conf
2. Добавьте правила:
[Definition]
failregex = ^%(__prefix_line)s(?:error: PAM: )?[aA]uthentication (?:failure|error) for .* from <HOST>(?: port \d*)?(?: ssh\d*)?(?: on \S+)?\s*$
^%(__prefix_line)s(?:error: PAM: )?User not known to the underlying authentication module for .* from <HOST>\s*$
^%(__prefix_line)sFailed \w+ for .* from <HOST>(?: port \d*)?(?: ssh\d*)?(?: on \S+)?\s*$
^%(__prefix_line)sROOT LOGIN REFUSED.* from <HOST>\s*$
^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from <HOST>\s*$
^%(__prefix_line)sUser .* from <HOST> not allowed because not listed in AllowUsers\s*$
^%(__prefix_line)sauthentication failure; logname=\S* uid=\S* euid=\S* tty=\S* ruser=\S* rhost=<HOST>(?:\s+user=.*)?\s*$
^%(__prefix_line)srefused connect from <HOST>\s*$
^%(__prefix_line)sAddress <HOST> .* POSSIBLE BREAK-IN ATTEMPT!\s*$
ignoreregex =
3. Настройте jail для SSH:
[sshd-ddos]
enabled = true
port = ssh
filter = sshd-ddos
logpath = /var/log/auth.log
maxretry = 6
bantime = 3600
findtime = 600
5. Защита веб-серверов =
Защита Apache
1. Создайте фильтр для Apache:
sudo nano /etc/fail2ban/filter.d/apache-auth.conf
2. Добавьте правила:
[Definition]
failregex = ^<HOST> -.*"(GET|POST).*HTTP.*" (401|403) .*$
^<HOST> -.*"(GET|POST).*HTTP.*" (400|404|500) .*$
^<HOST> -.*"GET.*HTTP.*" (200|301|302) .*".*".*$
ignoreregex =
3. Настройте jail для Apache:
[apache-auth]
enabled = true
port = http,https
filter = apache-auth
logpath = /var/log/apache2/*error.log
maxretry = 3
bantime = 3600
findtime = 600
[apache-noscript]
enabled = true
port = http,https
filter = apache-noscript
logpath = /var/log/apache2/*access.log
maxretry = 3
bantime = 3600
findtime = 600
[apache-overflows]
enabled = true
port = http,https
filter = apache-overflows
logpath = /var/log/apache2/*error.log
maxretry = 3
bantime = 3600
findtime = 600
Защита Nginx
1. Создайте фильтр для Nginx:
sudo nano /etc/fail2ban/filter.d/nginx-http-auth.conf
2. Добавьте правила:
[Definition]
failregex = ^<HOST> -.*"(GET|POST).*HTTP.*" (401|403) .*$
^<HOST> -.*"(GET|POST).*HTTP.*" (400|404|500) .*$
ignoreregex =
3. Настройте jail для Nginx:
[nginx-http-auth]
enabled = true
port = http,https
filter = nginx-http-auth
logpath = /var/log/nginx/error.log
maxretry = 3
bantime = 3600
findtime = 600
[nginx-limit-req]
enabled = true
port = http,https
filter = nginx-limit-req
logpath = /var/log/nginx/error.log
maxretry = 3
bantime = 3600
findtime = 600
6. Защита баз данных =
Защита MySQL
1. Создайте фильтр для MySQL:
sudo nano /etc/fail2ban/filter.d/mysql-auth.conf
2. Добавьте правила:
[Definition]
failregex = ^.*\[Warning\].*Access denied for user '.*'@'<HOST>'.*$
^.*\[Warning\].*Access denied for user '.*'@'<HOST>'.*$
^.*\[Warning\].*Access denied for user '.*'@'<HOST>'.*$
ignoreregex =
3. Настройте jail для MySQL:
[mysql-auth]
enabled = true
port = 3306
filter = mysql-auth
logpath = /var/log/mysql/error.log
maxretry = 3
bantime = 3600
findtime = 600
Защита PostgreSQL
1. Создайте фильтр для PostgreSQL:
sudo nano /etc/fail2ban/filter.d/postgresql.conf
2. Добавьте правила:
[Definition]
failregex = ^.*FATAL: password authentication failed for user ".*" from <HOST>.*$
^.*FATAL: no pg_hba.conf entry for host "<HOST>", user ".*", database ".*", SSL off.*$
ignoreregex =
3. Настройте jail для PostgreSQL:
[postgresql]
enabled = true
port = 5432
filter = postgresql
logpath = /var/log/postgresql/postgresql-*.log
maxretry = 3
bantime = 3600
findtime = 600
7. Защита почтовых серверов =
Защита Postfix
1. Создайте фильтр для Postfix:
sudo nano /etc/fail2ban/filter.d/postfix.conf
2. Добавьте правила:
[Definition]
failregex = ^.*HOST=<HOST>.*REJECT.*$
^.*HOST=<HOST>.*REJECT.*$
^.*HOST=<HOST>.*REJECT.*$
ignoreregex =
3. Настройте jail для Postfix:
[postfix]
enabled = true
port = smtp,465,submission
filter = postfix
logpath = /var/log/mail.log
maxretry = 3
bantime = 3600
findtime = 600
Защита Dovecot
1. Создайте фильтр для Dovecot:
sudo nano /etc/fail2ban/filter.d/dovecot.conf
2. Добавьте правила:
[Definition]
failregex = ^.*authentication failure.*rip=<HOST>.*$
^.*Login attempt.*rip=<HOST>.*$
ignoreregex =
3. Настройте jail для Dovecot:
[dovecot]
enabled = true
port = pop3,pop3s,imap,imaps,submission,465,sieve
filter = dovecot
logpath = /var/log/mail.log
maxretry = 3
bantime = 3600
findtime = 600
8. Продвинутые настройки =
Настройка whitelist
1. Добавьте в jail.local:
[DEFAULT]
ignoreip = 127.0.0.1/8 ::1 192.168.1.0/24 10.0.0.0/8
2. Создайте файл whitelist:
sudo nano /etc/fail2ban/ignoreip.local
3. Добавьте IP адреса:
# Доверенные IP адреса
192.168.1.100
192.168.1.101
10.0.0.50
Настройка blacklist
1. Создайте файл blacklist:
sudo nano /etc/fail2ban/blacklist.local
2. Добавьте IP адреса:
# Заблокированные IP адреса
192.168.1.200
192.168.1.201
3. Настройте jail для blacklist:
[blacklist]
enabled = true
port = ssh,http,https
filter = blacklist
logpath = /var/log/fail2ban.log
maxretry = 1
bantime = -1
findtime = 1
Настройка кастомных фильтров
1. Создайте кастомный фильтр:
sudo nano /etc/fail2ban/filter.d/custom.conf
2. Добавьте правила:
[Definition]
failregex = ^.*<HOST>.*FAILED.*$
^.*<HOST>.*ERROR.*$
^.*<HOST>.*DENIED.*$
ignoreregex =
3. Настройте jail для кастомного фильтра:
[custom]
enabled = true
port = ssh,http,https
filter = custom
logpath = /var/log/custom.log
maxretry = 3
bantime = 3600
findtime = 600
9. Мониторинг и управление =
Просмотр статуса
1. Просмотр активных jail:
sudo fail2ban-client status
2. Просмотр статуса конкретного jail:
sudo fail2ban-client status sshd
3. Просмотр заблокированных IP:
sudo fail2ban-client status sshd
Управление jail
1. Запуск jail:
sudo fail2ban-client start sshd
2. Остановка jail:
sudo fail2ban-client stop sshd
3. Перезапуск jail:
sudo fail2ban-client restart sshd
4. Перезагрузка конфигурации:
sudo fail2ban-client reload
Управление IP адресами
1. Разблокировка IP:
sudo fail2ban-client set sshd unbanip 192.168.1.100
2. Блокировка IP:
sudo fail2ban-client set sshd banip 192.168.1.100
3. Просмотр заблокированных IP:
sudo fail2ban-client get sshd banned
10. Настройка логирования =
Настройка логов fail2ban
1. Настройте логирование:
sudo nano /etc/fail2ban/fail2ban.conf
2. Измените параметры:
loglevel = INFO
logtarget = /var/log/fail2ban.log
3. Настройте ротацию логов:
sudo nano /etc/logrotate.d/fail2ban
4. Добавьте конфигурацию:
/var/log/fail2ban.log {
daily
missingok
rotate 52
compress
delaycompress
notifempty
create 644 root root
postrotate
systemctl reload fail2ban
endscript
}
Создание скрипта мониторинга
1. Создайте скрипт мониторинга:
sudo nano /usr/local/bin/fail2ban-monitor.sh
2. Добавьте содержимое:
#!/bin/bash
- Проверка статуса fail2ban
if ! systemctl is-active --quiet fail2ban; then
echo "Fail2ban is down!" | mail -s "Fail2ban Alert" admin@example.com
fi
- Проверка количества заблокированных IP
BLOCKED_COUNT=$(sudo fail2ban-client status sshd | grep "Currently banned:" | awk '{print $4}')
if [ $BLOCKED_COUNT -gt 10 ]; then
echo "High number of blocked IPs: $BLOCKED_COUNT" | mail -s "Fail2ban Alert" admin@example.com
fi
- Проверка логов на ошибки
ERROR_COUNT=$(grep -c "ERROR" /var/log/fail2ban.log 2>/dev/null || echo 0)
if [ $ERROR_COUNT -gt 5 ]; then
echo "Fail2ban errors detected: $ERROR_COUNT" | mail -s "Fail2ban Alert" admin@example.com
fi
3. Сделайте скрипт исполняемым:
sudo chmod +x /usr/local/bin/fail2ban-monitor.sh
4. Добавьте в crontab:
sudo crontab -e
5. Добавьте задачу:
*/5 * * * * /usr/local/bin/fail2ban-monitor.sh
11. Настройка уведомлений =
Настройка Slack уведомлений
1. Создайте Slack webhook:
sudo nano /etc/fail2ban/action.d/slack.conf
2. Добавьте конфигурацию:
[Definition]
actionstart = curl -X POST -H 'Content-type: application/json' --data '{"text":"Fail2ban jail <name> started on <fq-hostname>"}' <slack_webhook_url>
actionstop = curl -X POST -H 'Content-type: application/json' --data '{"text":"Fail2ban jail <name> stopped on <fq-hostname>"}' <slack_webhook_url>
actioncheck =
actionban = curl -X POST -H 'Content-type: application/json' --data '{"text":"IP <ip> banned by Fail2ban after <failures> attempts against <name>"}' <slack_webhook_url>
actionunban = curl -X POST -H 'Content-type: application/json' --data '{"text":"IP <ip> unbanned by Fail2ban from <name>"}' <slack_webhook_url>
3. Настройте jail с Slack уведомлениями:
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600
findtime = 600
action = slack
Настройка Telegram уведомлений
1. Создайте Telegram бота и получите токен
2. Создайте конфигурацию:
sudo nano /etc/fail2ban/action.d/telegram.conf
3. Добавьте настройки:
[Definition]
actionstart = curl -s -X POST "https://api.telegram.org/bot<bot_token>/sendMessage" -d chat_id=<chat_id> -d text="Fail2ban jail <name> started on <fq-hostname>"
actionstop = curl -s -X POST "https://api.telegram.org/bot<bot_token>/sendMessage" -d chat_id=<chat_id> -d text="Fail2ban jail <name> stopped on <fq-hostname>"
actioncheck =
actionban = curl -s -X POST "https://api.telegram.org/bot<bot_token>/sendMessage" -d chat_id=<chat_id> -d text="IP <ip> banned by Fail2ban after <failures> attempts against <name>"
actionunban = curl -s -X POST "https://api.telegram.org/bot<bot_token>/sendMessage" -d chat_id=<chat_id> -d text="IP <ip> unbanned by Fail2ban from <name>"
12. Устранение неполадок =
Частые проблемы
1. Fail2ban не запускается:
- Проверьте конфигурацию:
sudo fail2ban-client -t - Проверьте логи:
sudo journalctl -u fail2ban - Проверьте права доступа к файлам
2. Jail не работает:
- Проверьте фильтры:
sudo fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf - Проверьте пути к логам
- Проверьте права доступа к логам
3. Ложные срабатывания:
- Настройте whitelist
- Измените параметры maxretry и findtime
- Проверьте фильтры
Диагностика
1. Проверка статуса:
sudo systemctl status fail2ban
2. Проверка конфигурации:
sudo fail2ban-client -t
3. Тестирование фильтров:
sudo fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf
4. Проверка логов:
sudo tail -f /var/log/fail2ban.log
5. Проверка iptables:
sudo iptables -L -n
Заключение
Fail2ban успешно настроен и готов к работе! Теперь у вас есть мощная защита от атак с возможностями мониторинга, уведомлений и гибкой настройки.
Для размещения ваших защищенных серверов на надежном хостинге рекомендуем воспользоваться услугами [ARK-HOSTER.RU](https://ark-hoster.ru):
- [Выделенные серверы](https://ark-hoster.ru/dedicated/) - для критически важных серверов с повышенной защитой
- [VPS/VDS серверы](https://ark-hoster.ru/vpsgame/) - для небольших и средних проектов
Наши специалисты помогут с настройкой fail2ban и обеспечением безопасности ваших серверов!
