it:server:fail2ban

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze		 Předchozí verze
it:server:fail2ban [2022/11/19 20:16] Petr Nosekit:server:fail2ban [2022/11/19 22:21] (aktuální) Petr Nosek
Řádek 9: Řádek 9:
 cp jail.conf jail.local cp jail.conf jail.local
 </code> </code>
 +
 +zdroje k nastavení fail2ban:
 +
 +  * https://www.czeo.com/configure-fail2ban-with-ufw/
 +  * https://blog.frehi.be/2019/01/17/securing-openssh/
  
  
Řádek 14: Řádek 19:
  
  
-Pro webserver jsem nastavoval, aby se zablokoval při portscanningu přístup na všechny porty, kromě 80 a 443. K tomu mi posloužil vytvoření soubor **/etc/fail2ban/action**+Pro webserver jsem nastavoval, aby se zablokoval při portscanningu přístup na všechny porty, kromě 80 a 443. K tomu mi posloužil vytvoření soubor **/etc/fail2ban/action/ufw-portscan.conf**. Musel jsem v původním souboru (kopie ufw.conf) nahradit insert = <insertpos> tímto: prepend. Jinak nefungoval ufw pro ipv6. Takto funguje pro obojí.  
 + 
 +V githubu je soubor ještě více předělaný, tak aby po zabanování zabil ještě existující spojení. Což můj skript neumí. Alespoň jsem se neodříznul od ssh: 
 +https://github.com/fail2ban/fail2ban/blob/bbfff1828061514e48395a5dbc5c1f9f81625e82/config/action.d/ufw.conf 
 + 
 +Pokud bych provozoval ještě nějaké další služby, musel bych je přidat, abych do tohoto skriptu. Protože pokud někdo udělá portscan, tak se zaříznou všechny služby, kromě žádoucích 80 a 443. 
  
 <code bash> <code bash>
Řádek 72: Řádek 83:
 Tady je konfigurace k jednotlivým službám. Každá služba zapisuje do syslogu pokusy o přihlášení v různém formátu. Filtry skrz regulární výrazy ukazují, co hledat. Tím, si lze fail2ban rozšířit i na služby, pro které defaultně určen není. Tady je konfigurace k jednotlivým službám. Každá služba zapisuje do syslogu pokusy o přihlášení v různém formátu. Filtry skrz regulární výrazy ukazují, co hledat. Tím, si lze fail2ban rozšířit i na služby, pro které defaultně určen není.
  
-Přidáme **/etc/fail2ban/filter.d/vpnserver.conf**+Přidáme **/etc/fail2ban/filter.d/vpnserver.conf** - čerpáno ze [[https://www.vpnusers.com/viewtopic.php?f=7&t=6375&sid=76707e8a5a16b0c9486a39ba34763901&view=print|zdroje]].
  
 <code bash> <code bash>
Řádek 256: Řádek 267:
  
 </code> </code>
 +
 +==== Testování regulárního výrazu vlastního filtru ====
 +
 +Tady je ukázka, jak lze otestovat vlastní filtr.
 +
 +<code bash>
 +fail2ban-regex  /var/log/ufw.log '.*\[UFW BLOCK\] IN=.* SRC=<HOST>'
 +</code>
 +
 +
 +===== Editace fail2ban.conf =====
 +
 +Tady popisuji hodnoty, které jde oproti defaultnímu nastavení změnil.
 +
 +<code>
 +dbpurgeage = 10d
 +</code>
 +
 +===== Editace jail.local =====
 +
 +
 +Nejprve je třeba v souboru jail.local nastavit banaction i na ipv6 a bannování skrz ipset. V provozu může vzniknout docela dost ip adres, které je třeba bannovat, tak bude rozumné kvůli rychlosti firewallu použít ipset místo defaultního nastavení:
 +
 +<code>
 +banaction = iptables-ipset-proto6
 +banaction_allports = iptables-ipset-proto6-allports
 +</code>
 +
 +Zkoušel jsem zvolit banaction = ufw, ale tady se zabanovala celá ip adresa a já chci blokovat pouze konkrétní službu. Zejména co se ssh týče.
 +
 +Služby, na kterých má fail2ban vyset se musí zapnout pomocí enabled = true. U SSH jsem volil mód aggressive. Blokace je 10 minut pro všechny služby, pokud zkusí 3 a více pokusů za posledních 10 minut.
 +
 +<code>
 +# "bantime" is the number of seconds that a host is banned.
 +bantime  = 10m
 +
 +# A host is banned if it has generated "maxretry" during the last "findtime"
 +# seconds.
 +findtime  = 10m
 +
 +# "maxretry" is the number of failures before a host get banned.
 +maxretry = 3
 +</code>
 +
 +
 +Tady se odehrává zbytek nastavení fail2ban. Sepisuji zejména změny, které jsem provedl. U SSH jsem si změnil port a to je potřeba promítnout i v konfiguraci. Je tam vidět port 3333.
 +
 +<code>
 +
 +ignoreip = 127.0.0.1/8 ::1
 +
 +[sshd]
 +
 +# To use more aggressive sshd modes set filter parameter "mode" in jail.local:
 +# normal (default), ddos, extra or aggressive (combines all).
 +# See "tests/files/logs/sshd" or "filter.d/sshd.conf" for usage example and details.
 +mode    = aggressive
 +port    = ssh,3333
 +filter  = mysshd
 +logpath = %(sshd_log)s
 +backend = %(sshd_backend)s
 +enabled = true
 +
 +[nextcloud]
 +
 +enabled  = true
 +port     = http,https
 +filter   = nextcloud
 +logpath  = /var/www/nextcloud/data/nextcloud.log
 +maxretry = 6
 +
 +
 +#[ufwban]
 +#enabled = false
 +#port = ssh, http, https
 +#filter = ufwban
 +#logpath = /var/log/ufw.log
 +#action = ufw
 +
 +</code>
 +
 +Dále jsem přidal sshd-slow, který zabanuje ssh pro případ, že se za 1 den někdo zkusí celkem 10x přihlásit. V tomto případě zablokuje na 1week. To už je docela problematický prohřešek.
 +
 +<code>
 +
 +[sshd-slow]
 +filter  = sshd[mode=aggressive]
 +port    = ssh, 3333
 +maxretry = 6
 +findtime = 1d
 +bantime  = 1w
 +logpath  = %(sshd_log)s
 +backend  = %(sshd_backend)s
 +enabled  = true
 +
 +
 +[vpnserver]
 +enabled = true
 +port     = 443,500,4500
 +protocol = udp
 +logpath  = /usr/vpnserver/security_log/DEFAULT/sec.log
 +banaction = iptables-allports
 +# Uncomment the following line if you want to be notified about banned IP's
 +action= %(action_mwl)s
 +filter=vpnserver
 +
 +
 +[vpnserver-securenat]
 +enabled = true
 +logpath = /usr/vpnserver/security_log/securenat/sec.log
 +port = all
 +protocol = all
 +banaction = iptables-allports
 +# Uncomment the following line if you want to be notified about banned IP's
 +action= %(action_mwl)s
 +filter=vpnserver
 +</code>
 +
 +Pozapínal jsem další smysluplné věci, jako apache, fakegoogle boty atp. 
 +
 +Zapnul jsem i recidive. Pokud někdo bude mít ban 3x za 12 hodin, bude celá IP adresa zablokovaná na 1 týden. Tady budu muset být opatrný a kontrolovat, protože hrozí, že někdo přijde z veřejné IP adresy, 3x dostane BAN a zablokuje celou veřejnou IP adresu. 
 +
 +<code>
 +[recidive]                                                                                                                                                                                        
 +enabled = true
 +logpath  = /var/log/fail2ban.log
 +banaction = %(banaction_allports)s
 +bantime  = 1w
 +findtime = 12h
 +</code>
 +
 +Poslední, co jsem aplikoval je ochrana na portscan. Tady je to opět potenciálně nebezpečná záležitost u webserveru. V praxi to prochází log, hledá jednoduchý řetězec, zda byla ip adresa zablokovaná a pokud byla zablokovaná 10x, tak proběhne ban skrz ufw. 
 +
 +Problémy jsou tam tyto:
 +  * Nečíslovaný seznamNečíslovaný seznamufw mám na loglevel = low, takže když někdo oskenuje všechny porty, tak se neprovedou tisíce záznamů do logu, ale jenom pár. Zvyšovat hodnotu zase nemá smysl kvůli zpomalení sítě a serveru. 
 +  * pokud mi tam bude padat moc IP adres, tak ufw nebude dobrá volba, kvůli velkému počtu IP adres. Může pak dojít ke zpomalení. Tady je řešení vytvořit v **action.d/ufw-portscan.conf** a upravit soubor tak, aby zablokoval pouze port 3333 a povolil 80 a 443. Nechci zablokovat všechny služby pro danou IP adresu, protože mi někdo oskenoval porty.
 +
 +<code>
 +[ufw-port-scan]
 +enabled = true
 +filter  = portscan
 +logpath = /var/log/ufw.log
 +banaction = ufw-portscan
 +bantime         = 1w
 +maxretry        = 300
 +findtime        = 3h
 +</code>
 +
 +
 +zdroje ohledně aplikace portscanu:
 +
 +  * https://dodwell.us/security/ufw-fail2ban-portscan.html
 +  * https://serverfault.com/questions/629709/trouble-with-fail2ban-ufw-portscan-filter
  
 ===== Vyřazení IP adresy z banlistu ===== ===== Vyřazení IP adresy z banlistu =====
  • it/server/fail2ban.1668888981.txt.gz
  • Poslední úprava: 2022/11/19 20:16
  • autor: Petr Nosek