Безопасность веб-сервера. Настраиваем Fail2ban для защиты сервера Apache (Debian 8 Jessie/Debian 9 Stretch/Ubuntu Server 14.04 LTS)

Продолжаем рассматривать способы защиты веб-сервера, от потенциальных угроз. На этот раз рассмотрим такой инструмент как Fail2ban.

 

Принцип работы Fail2ban, заключается в анализе лог-файлов и реагировании на определенные события которые определены в настройках Fail2ban.

 

Рассмотрим как установить Fail2ban и настроить на защиту веб-сервера (Apache), развернутом на Debian 9 Stretch.

 

Установка

Установка Fail2ban абсолютно тривиальная, выполняем команду:

 

Конфигурационный файл настройки правил (/etc/fail2ban/jail.conf), разработчики не рекомендуют изменять, поэтому создадим его локальную копию, из которого будут в приоритете считываться правила:

 

Настройка правил (jails)

Fail2ban поставляется с набором предопределённых правил (jails), для популярных приложений, таких как Apache, Nginx, Lighttpd, SSH…. Само собой разумеется можно создать и собственные правила для произвольных приложений.

 

Каждое правило для определения атак, полагается на фильтры описанные в /etc/fail2ban/fileter.d, а доступные действия на обнаруженные атаки описаны в /etc/fail2ban/action.d.

 

Задействуем встроенные правила для Apache. Открываем ранее созданный файл конфигурации /etc/fail2ban/jail.local и добавляем в него правила:

 

В указанных правилах, не определяется действие, при срабатывании триггера, поэтому они будут выполнять действие по-умолчанию. Действие по-умолчанию, можно посмотреть в загляните в /etc/fail2ban/jail.conf в секции [DEFAULT], параметр banaction.

 

В моем случае, действие по-умолчанию — это iptables-multiport (предопределено в /etc/fail2ban/action.d/iptables-multiport.conf). Это действие блокирует IP адреса используя iptables с модулем мультипорт (multiport module).

Любой заданный параметр в конфигурации правила перепишет соответствующий параметр по-умолчанию, определённый файлами настроек fail2ban. И наоборот, любой отсутствующий параметр будет взят из значения по-умолчанию, определённый в секции [DEFAULT].

 

После включения правил, необходимо перезапустить fail2ban для загрузки правил:

 

Проверка и управления статусами и банами Fail2ban

После активации правил (jails), можно просматривать текущее состояние их, а так же управлять банами в них, при помощи fail2ban-client.

 

Чтобы посмотреть список активных правил (jails):

 

Чтобы посмотреть статус определённого правила (jail):

 

Для ручного блокировки IP-адреса, в определенном правиле (jail), выполним команду:

 

Для разблокировки IP-адреса, в определенном правиле (jail):

 

Заключение

Мы рассмотрели как защитить веб-сервер Apache, использую предустановленные правила (jail). Но хочу заметить, что сервис fail2ban очень гибок настройке и поэтому в зависимости от типа ваших веб-сервисов и нужд в защите, можно адаптировать существующие правила (jail) или написать собственные правила (jail) и фильтры логов.

 

Понравилась или оказалась полезной статья, поблагодари автора

 

БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
Загрузка...

Оставить ответ

девятнадцать − три =