Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

--- it:server:fail2ban [2022/11/19 20:09] – Petr Nosek
+++ it:server:fail2ban [2022/11/19 22:21] (aktuální) – Petr Nosek
@@ Řádek 9: / Řádek 9: @@
 cp jail.conf jail.local
 </code>
+zdroje k nastavení fail2ban:
+  * https://www.czeo.com/configure-fail2ban-with-ufw/
+  * https://blog.frehi.be/2019/01/17/securing-openssh/
@@ Řádek 14: / Řádek 19: @@
-Pro webserver jsem nastavoval, aby se zablokoval při portscanningu přístup na všechny porty, kromě 80 a 443. K tomu mi posloužil vytvoření soubor **/etc/fail2ban/action**
+Pro webserver jsem nastavoval, aby se zablokoval při portscanningu přístup na všechny porty, kromě 80 a 443. K tomu mi posloužil vytvoření soubor **/etc/fail2ban/action/ufw-portscan.conf**. Musel jsem v původním souboru (kopie ufw.conf) nahradit insert = <insertpos> tímto: prepend. Jinak nefungoval ufw pro ipv6. Takto funguje pro obojí.
+V githubu je soubor ještě více předělaný, tak aby po zabanování zabil ještě existující spojení. Což můj skript neumí. Alespoň jsem se neodříznul od ssh:
+https://github.com/fail2ban/fail2ban/blob/bbfff1828061514e48395a5dbc5c1f9f81625e82/config/action.d/ufw.conf
+Pokud bych provozoval ještě nějaké další služby, musel bych je přidat, abych do tohoto skriptu. Protože pokud někdo udělá portscan, tak se zaříznou všechny služby, kromě žádoucích 80 a 443.
 <code bash>
@@ Řádek 72: / Řádek 83: @@
 Tady je konfigurace k jednotlivým službám. Každá služba zapisuje do syslogu pokusy o přihlášení v různém formátu. Filtry skrz regulární výrazy ukazují, co hledat. Tím, si lze fail2ban rozšířit i na služby, pro které defaultně určen není.
-Přidáme **/etc/fail2ban/filter.d/vpnserver.conf
+Přidáme **/etc/fail2ban/filter.d/vpnserver.conf** - čerpáno ze [[https://www.vpnusers.com/viewtopic.php?f=7&t=6375&sid=76707e8a5a16b0c9486a39ba34763901&view=print|zdroje]].
 <code bash>
@@ Řádek 127: / Řádek 138: @@
-Našel jsem i vlastní ssh - **/etc/fail2ban/filter.d/mysshd.conf**:
+Našel jsem i vlastní ssh - **/etc/fail2ban/filter.d/mysshd.conf** ve kterém je přidaný řádek, který banuje už i preauth při ssh.
-<code bash>
+<code>
+^Connection closed by <HOST> port \d+ \[preauth\]$
+</code>
+Tady obsah celého souboru.
+<code>
 # Fail2Ban filter for openssh
 #
@@ Řádek 251: / Řádek 267: @@
 </code>
+==== Testování regulárního výrazu vlastního filtru ====
+Tady je ukázka, jak lze otestovat vlastní filtr.
+<code bash>
+fail2ban-regex  /var/log/ufw.log '.*\[UFW BLOCK\] IN=.* SRC=<HOST>'
+</code>
+===== Editace fail2ban.conf =====
+Tady popisuji hodnoty, které jde oproti defaultnímu nastavení změnil.
+<code>
+dbpurgeage = 10d
+</code>
+===== Editace jail.local =====
+Nejprve je třeba v souboru jail.local nastavit banaction i na ipv6 a bannování skrz ipset. V provozu může vzniknout docela dost ip adres, které je třeba bannovat, tak bude rozumné kvůli rychlosti firewallu použít ipset místo defaultního nastavení:
+<code>
+banaction = iptables-ipset-proto6
+banaction_allports = iptables-ipset-proto6-allports
+</code>
+Zkoušel jsem zvolit banaction = ufw, ale tady se zabanovala celá ip adresa a já chci blokovat pouze konkrétní službu. Zejména co se ssh týče.
+Služby, na kterých má fail2ban vyset se musí zapnout pomocí enabled = true. U SSH jsem volil mód aggressive. Blokace je 10 minut pro všechny služby, pokud zkusí 3 a více pokusů za posledních 10 minut.
+<code>
+# "bantime" is the number of seconds that a host is banned.
+bantime  = 10m
+# A host is banned if it has generated "maxretry" during the last "findtime"
+# seconds.
+findtime  = 10m
+# "maxretry" is the number of failures before a host get banned.
+maxretry = 3
+</code>
+Tady se odehrává zbytek nastavení fail2ban. Sepisuji zejména změny, které jsem provedl. U SSH jsem si změnil port a to je potřeba promítnout i v konfiguraci. Je tam vidět port 3333.
+<code>
+ignoreip = 127.0.0.1/8 ::1
+[sshd]
+# To use more aggressive sshd modes set filter parameter "mode" in jail.local:
+# normal (default), ddos, extra or aggressive (combines all).
+# See "tests/files/logs/sshd" or "filter.d/sshd.conf" for usage example and details.
+mode    = aggressive
+port    = ssh,3333
+filter  = mysshd
+logpath = %(sshd_log)s
+backend = %(sshd_backend)s
+enabled = true
+[nextcloud]
+enabled  = true
+port     = http,https
+filter   = nextcloud
+logpath  = /var/www/nextcloud/data/nextcloud.log
+maxretry = 6
+#[ufwban]
+#enabled = false
+#port = ssh, http, https
+#filter = ufwban
+#logpath = /var/log/ufw.log
+#action = ufw
+</code>
+Dále jsem přidal sshd-slow, který zabanuje ssh pro případ, že se za 1 den někdo zkusí celkem 10x přihlásit. V tomto případě zablokuje na 1week. To už je docela problematický prohřešek.
+<code>
+[sshd-slow]
+filter  = sshd[mode=aggressive]
+port    = ssh, 3333
+maxretry = 6
+findtime = 1d
+bantime  = 1w
+logpath  = %(sshd_log)s
+backend  = %(sshd_backend)s
+enabled  = true
+[vpnserver]
+enabled = true
+port     = 443,500,4500
+protocol = udp
+logpath  = /usr/vpnserver/security_log/DEFAULT/sec.log
+banaction = iptables-allports
+# Uncomment the following line if you want to be notified about banned IP's
+action= %(action_mwl)s
+filter=vpnserver
+[vpnserver-securenat]
+enabled = true
+logpath = /usr/vpnserver/security_log/securenat/sec.log
+port = all
+protocol = all
+banaction = iptables-allports
+# Uncomment the following line if you want to be notified about banned IP's
+action= %(action_mwl)s
+filter=vpnserver
+</code>
+Pozapínal jsem další smysluplné věci, jako apache, fakegoogle boty atp.
+Zapnul jsem i recidive. Pokud někdo bude mít ban 3x za 12 hodin, bude celá IP adresa zablokovaná na 1 týden. Tady budu muset být opatrný a kontrolovat, protože hrozí, že někdo přijde z veřejné IP adresy, 3x dostane BAN a zablokuje celou veřejnou IP adresu.
+<code>
+[recidive]
+enabled = true
+logpath  = /var/log/fail2ban.log
+banaction = %(banaction_allports)s
+bantime  = 1w
+findtime = 12h
+</code>
+Poslední, co jsem aplikoval je ochrana na portscan. Tady je to opět potenciálně nebezpečná záležitost u webserveru. V praxi to prochází log, hledá jednoduchý řetězec, zda byla ip adresa zablokovaná a pokud byla zablokovaná 10x, tak proběhne ban skrz ufw.
+Problémy jsou tam tyto:
+  * Nečíslovaný seznamNečíslovaný seznamufw mám na loglevel = low, takže když někdo oskenuje všechny porty, tak se neprovedou tisíce záznamů do logu, ale jenom pár. Zvyšovat hodnotu zase nemá smysl kvůli zpomalení sítě a serveru.
+  * pokud mi tam bude padat moc IP adres, tak ufw nebude dobrá volba, kvůli velkému počtu IP adres. Může pak dojít ke zpomalení. Tady je řešení vytvořit v **action.d/ufw-portscan.conf** a upravit soubor tak, aby zablokoval pouze port 3333 a povolil 80 a 443. Nechci zablokovat všechny služby pro danou IP adresu, protože mi někdo oskenoval porty.
+<code>
+[ufw-port-scan]
+enabled = true
+filter  = portscan
+logpath = /var/log/ufw.log
+banaction = ufw-portscan
+bantime         = 1w
+maxretry        = 300
+findtime        = 3h
+</code>
+zdroje ohledně aplikace portscanu:
+  * https://dodwell.us/security/ufw-fail2ban-portscan.html
+  * https://serverfault.com/questions/629709/trouble-with-fail2ban-ufw-portscan-filter
 ===== Vyřazení IP adresy z banlistu =====
@@ Řádek 257: / Řádek 426: @@
 fail2ban-client set vpnserver unbanip 89.24.33.115
 fail2ban-client unban 89.24.33.115
+</code>
+===== Vypsání všech zabanovaných adres =====
+<code bash>
+fail2ban-client banned
 </code>