Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

--- it:server:fail2ban [2022/11/19 20:53] – Petr Nosek
+++ it:server:fail2ban [2022/11/19 22:21] (aktuální) – Petr Nosek
@@ Řádek 9: / Řádek 9: @@
 cp jail.conf jail.local
 </code>
+zdroje k nastavení fail2ban:
+  * https://www.czeo.com/configure-fail2ban-with-ufw/
+  * https://blog.frehi.be/2019/01/17/securing-openssh/
@@ Řádek 14: / Řádek 19: @@
-Pro webserver jsem nastavoval, aby se zablokoval při portscanningu přístup na všechny porty, kromě 80 a 443. K tomu mi posloužil vytvoření soubor **/etc/fail2ban/action**
+Pro webserver jsem nastavoval, aby se zablokoval při portscanningu přístup na všechny porty, kromě 80 a 443. K tomu mi posloužil vytvoření soubor **/etc/fail2ban/action/ufw-portscan.conf**. Musel jsem v původním souboru (kopie ufw.conf) nahradit insert = <insertpos> tímto: prepend. Jinak nefungoval ufw pro ipv6. Takto funguje pro obojí.
+V githubu je soubor ještě více předělaný, tak aby po zabanování zabil ještě existující spojení. Což můj skript neumí. Alespoň jsem se neodříznul od ssh:
+https://github.com/fail2ban/fail2ban/blob/bbfff1828061514e48395a5dbc5c1f9f81625e82/config/action.d/ufw.conf
+Pokud bych provozoval ještě nějaké další služby, musel bych je přidat, abych do tohoto skriptu. Protože pokud někdo udělá portscan, tak se zaříznou všechny služby, kromě žádoucích 80 a 443.
 <code bash>
@@ Řádek 72: / Řádek 83: @@
 Tady je konfigurace k jednotlivým službám. Každá služba zapisuje do syslogu pokusy o přihlášení v různém formátu. Filtry skrz regulární výrazy ukazují, co hledat. Tím, si lze fail2ban rozšířit i na služby, pro které defaultně určen není.
-Přidáme **/etc/fail2ban/filter.d/vpnserver.conf**
+Přidáme **/etc/fail2ban/filter.d/vpnserver.conf** - čerpáno ze [[https://www.vpnusers.com/viewtopic.php?f=7&t=6375&sid=76707e8a5a16b0c9486a39ba34763901&view=print|zdroje]].
 <code bash>
@@ Řádek 276: / Řádek 287: @@
 ===== Editace jail.local =====
-Tady se odehrává zbytek nastavení fail2ban. Sepisuji zejména změny, které jsem provedl. U SSH jsem si změnil port a to je potřeba promítnout i v konfiguraci. Je tam vidět port 3333.
+Nejprve je třeba v souboru jail.local nastavit banaction i na ipv6 a bannování skrz ipset. V provozu může vzniknout docela dost ip adres, které je třeba bannovat, tak bude rozumné kvůli rychlosti firewallu použít ipset místo defaultního nastavení:
 <code>
+banaction = iptables-ipset-proto6
+banaction_allports = iptables-ipset-proto6-allports
+</code>
-ignoreip = 127.0.0.1/8 ::1
+Zkoušel jsem zvolit banaction = ufw, ale tady se zabanovala celá ip adresa a já chci blokovat pouze konkrétní službu. Zejména co se ssh týče.
+Služby, na kterých má fail2ban vyset se musí zapnout pomocí enabled = true. U SSH jsem volil mód aggressive. Blokace je 10 minut pro všechny služby, pokud zkusí 3 a více pokusů za posledních 10 minut.
+<code>
+# "bantime" is the number of seconds that a host is banned.
+bantime  = 10m
+# A host is banned if it has generated "maxretry" during the last "findtime"
+# seconds.
+findtime  = 10m
+# "maxretry" is the number of failures before a host get banned.
+maxretry = 3
+</code>
+Tady se odehrává zbytek nastavení fail2ban. Sepisuji zejména změny, které jsem provedl. U SSH jsem si změnil port a to je potřeba promítnout i v konfiguraci. Je tam vidět port 3333.
+<code>
+ignoreip = 127.0.0.1/8 ::1
 [sshd]
@@ Řádek 291: / Řádek 325: @@
 mode    = aggressive
 port    = ssh,3333
+filter  = mysshd
 logpath = %(sshd_log)s
 backend = %(sshd_backend)s
 enabled = true
+[nextcloud]
+enabled  = true
+port     = http,https
+filter   = nextcloud
+logpath  = /var/www/nextcloud/data/nextcloud.log
+maxretry = 6
+#[ufwban]
+#enabled = false
+#port = ssh, http, https
+#filter = ufwban
+#logpath = /var/log/ufw.log
+#action = ufw
+</code>
+Dále jsem přidal sshd-slow, který zabanuje ssh pro případ, že se za 1 den někdo zkusí celkem 10x přihlásit. V tomto případě zablokuje na 1week. To už je docela problematický prohřešek.
+<code>
 [sshd-slow]
 filter  = sshd[mode=aggressive]
+port    = ssh, 3333
 maxretry = 6
 findtime = 1d
@@ Řádek 304: / Řádek 361: @@
 backend  = %(sshd_backend)s
 enabled  = true
-[ufw-port-scan]
-enabled = true
-filter  = portscan
-logpath = /var/log/ufw.log
-banaction = ufw-portscan
-bantime         = 1w
-maxretry        = 300
-findtime        = 3h
@@ Řádek 336: / Řádek 383: @@
 action= %(action_mwl)s
 filter=vpnserver
+</code>
+Pozapínal jsem další smysluplné věci, jako apache, fakegoogle boty atp.
+Zapnul jsem i recidive. Pokud někdo bude mít ban 3x za 12 hodin, bude celá IP adresa zablokovaná na 1 týden. Tady budu muset být opatrný a kontrolovat, protože hrozí, že někdo přijde z veřejné IP adresy, 3x dostane BAN a zablokuje celou veřejnou IP adresu.
+<code>
 [recidive]
 enabled = true
@@ Řádek 346: / Řádek 398: @@
 </code>
+Poslední, co jsem aplikoval je ochrana na portscan. Tady je to opět potenciálně nebezpečná záležitost u webserveru. V praxi to prochází log, hledá jednoduchý řetězec, zda byla ip adresa zablokovaná a pokud byla zablokovaná 10x, tak proběhne ban skrz ufw.
+Problémy jsou tam tyto:
+  * Nečíslovaný seznamNečíslovaný seznamufw mám na loglevel = low, takže když někdo oskenuje všechny porty, tak se neprovedou tisíce záznamů do logu, ale jenom pár. Zvyšovat hodnotu zase nemá smysl kvůli zpomalení sítě a serveru.
+  * pokud mi tam bude padat moc IP adres, tak ufw nebude dobrá volba, kvůli velkému počtu IP adres. Může pak dojít ke zpomalení. Tady je řešení vytvořit v **action.d/ufw-portscan.conf** a upravit soubor tak, aby zablokoval pouze port 3333 a povolil 80 a 443. Nechci zablokovat všechny služby pro danou IP adresu, protože mi někdo oskenoval porty.
+<code>
+[ufw-port-scan]
+enabled = true
+filter  = portscan
+logpath = /var/log/ufw.log
+banaction = ufw-portscan
+bantime         = 1w
+maxretry        = 300
+findtime        = 3h
+</code>
+zdroje ohledně aplikace portscanu:
+  * https://dodwell.us/security/ufw-fail2ban-portscan.html
+  * https://serverfault.com/questions/629709/trouble-with-fail2ban-ufw-portscan-filter
 ===== Vyřazení IP adresy z banlistu =====