Sử dụng SSH an toàn với Fail2ban

0

Để kết nối với các máy chủ ảo hoặc điều khiển từ xa một máy chủ nào đó, chúng ta thường sử dụng SSH, phương pháp này tiềm ẩn nguy cơ bị hacker dò ra mật khẩu đăng nhập. Một cách để hạn chế điều này là thay đổi cổng SSH mặc định từ 22 sang cổng khác, tuy nhiên điều này không thực sự gây ra nhiều khó khăn cho hacker, vì hacker có thể “quét cổng đang mở” để xác định cổng rồi tiếp tục tấn công. công cộng.

Giải pháp khá triệt để cho vấn đề này là sử dụng công cụ tự động chặn IP khi số lần đăng nhập thất bại trên máy chủ vượt quá giới hạn – Fail2ban.

  1. Fail2ban là gì? Cài đặt Fail2ban

Fail2ban Nó là ứng dụng theo dõi các File nhật ký, phát hiện và chặn các kết nối từ các địa chỉ IP có dấu hiệu độc hại như đăng nhập sai mật khẩu SSH nhiều lần, sử dụng tường lửa iptables để chặn địa chỉ IP trong một thời gian. chắc chắn.

Tải game crack việt hoá tại: https://daominhha.com

Lưu ý: Fail2ban không được khuyến nghị để hoạt động với các chương trình tường lửa khác như CSF vì sẽ xung đột với điều khiển tường lửa ‘iptables’.

Trên Debian và Ubuntu, Fail2ban có thể được cài đặt như sau.

cập nhật apt sudo

sudo apt install fail2ban

Trên Centos:

sudo yum -y cài đặt epel-release

sudo yum -y install fail2ban

Sau khi cài đặt thành công, Fail2ban đã sẵn sàng để bảo vệ SSH. Theo mặc định, Fail2ban sẽ cho phép bạn đăng nhập sai 6 lần trong 10 phút, sau đó nó sẽ Key địa chỉ IP trong vòng 10 phút. Tuy nhiên, bạn có thể thay đổi chính sách này theo ý muốn.

  1. Định cấu hình Fail2ban để bảo vệ SSH

Khi sử dụng Fail2ban, có 3 yếu tố quan trọng cần lưu ý:

  • Bộ lọc: Chứa mã regex lọc ra các mẫu cụ thể cần được xác định trong File nhật ký.
  • Hành động: Xác định lệnh Fail2ban để thực thi.
  • Jail: bao gồm một bộ lọc và một hoặc nhiều hành động, ví dụ chỉ định các chính sách như số lần đăng nhập không thành công, thời gian cấm IP …

Theo mặc định, sau khi cài đặt Fail2ban, nó sẽ cấu hình:

vim /etc/fail2ban/jail.conf

Mình nghĩ bạn cần xem =>  Có nên nâng cấp card màn hình rời cho laptop?

[DEFAULT]

# “ignoreip” có thể là địa chỉ IP, mặt nạ CIDR hoặc máy chủ DNS. Fail2ban sẽ không

# cấm máy chủ phù hợp với địa chỉ trong danh sách này. Một số địa chỉ có thể được

# được xác định bằng cách sử dụng dấu cách.

bỏ qua = 127.0.0,1

# “bantime” là số giây máy chủ bị cấm.

bantime = 600

# Máy chủ bị cấm nếu nó đã tạo ra “maxretry” trong “thời gian tìm kiếm” cuối cùng

# giây.

thời gian tìm thấy = 600

# “maxretry” là số lần thất bại trước khi máy chủ bị cấm.

tối đa = 5

Phía trong

bỏ qua: không chặn các địa chỉ này

  • bantime: thời gian (giây) bị chặn.
  • findtime: khoảng thời gian ip phải đăng nhập thành công.
  • maxretry: số lỗi nhật ký.

Chúng tôi sẽ cấu hình một SSH bảo mật Jail tùy chỉnh như sau:

Tạo một nhà tù mới:

vi /etc/fail2ban/jail.local

có nội dung:

[sshd]

đã kích hoạt = true

filter = sshd

action = iptables[name=SSH, port=ssh, protocol=tcp]

logpath = / var / log / secure

maxretry = 2

bantime = 60

Phía trong:

  • đã bật: bật bảo vệ nếu bạn muốn tắt nó sai.
  • filter: để mặc định trỏ đến File cấu hình /etc/fail2ban/filter.d/sshd.conf
  • hành động: Fail2ban sẽ cấm địa chỉ IP nếu nó khớp với bộ lọc trong /etc/fail2ban/action.d/iptables.conf. Nếu bạn đã thay đổi cổng ssh, hãy thay đổi cổng = ssh thành cổng mới, ví dụ: cổng = 2222
  • logpath: Đường dẫn File nhật ký Fail2ban được sử dụng để theo dõi
  • maxretry: số lần đăng nhập sai tối đa.
  • bantime: Thời gian IP bị cấm tính bằng giây, ví dụ ở đây là một phút.

Khởi động lại dịch vụ để áp dụng các thay đổi:

dịch vụ sudo fail2ban khởi động lại

Mình nghĩ bạn cần xem =>  Cải thiện tốc độ login SSH trên Linux nhanh nhất

Định cấu hình Fail2ban để khởi động với hệ điều hành khi khởi động lại máy chủ:

Đối với Ubuntu, Debian:

update-rc.d fail2ban mặc định

Với CentOS6:

chkconfig –level 23 fail2ban trên

Với CenOS7:

systemctl cho phép fail2ban

Sử dụng “iptables -L”Để kiểm tra xem iptables đã được cập nhật hay chưa.

Nếu có một Chuỗi có tên F2b-ssh là đã thành công.

  1. Kiểm tra bảo vệ SSH Fail2ban.

Từ một máy khác, thực thi SSH đến máy chủ vừa định cấu hình Fail2ban, nhập sai mật khẩu hai lần và kiểm tra Fail2ban trên máy chủ bằng lệnh:

fail2ban-client status sshd

Trạng thái cho nhà tù: sshd

| – Bộ lọc

| | – Hiện không thành công: 0

| | – Tổng số không thành công: 2

| `- Danh sách File: / var / log / secure

– Hành động

| – Hiện đang bị cấm: 1

| – Tổng số bị cấm: 1

– Danh sách IP bị cấm: 103.207.68.xx

Vì vậy, bạn có thể tự cài đặt và cấu hình Fail2ban để bảo vệ SSH khỏi các cuộc tấn công Brute Force trên hệ thống VPS / Cloud Server. Chúc may mắn.

>> Bài viết hữu ích: Tạo thông báo nhắc nhở uống nước trên Ubuntu

✤ Top 20 bài viết Thủ Thuật mới nhất :

Mình nghĩ bạn cần xem =>  Cách sử dụng Remote Desktop Connection (RDC) trên Windows PC

Xem thêm nhiều Thủ Thuật mới hay

Leave A Reply

Your email address will not be published.