Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



01.12.2022

Wyższy poziom programowania

Progress oferuje nowe narzędzia programistyczne: Progress Telerik, Progress Kendo UI i...
01.12.2022

Łączność w podróży

VMware SD-WAN VMware zaprezentował rozwiązanie SD-WAN nowej generacji, w tym nowego...
01.12.2022

Bezpieczne e-maile

Nowa aplikacja firmy Cypherdog Security Inc. umożliwia bezpieczną wymianę maili i...
01.12.2022

Pierwszy w branży

Schneider Electric wprowadza na rynek APC Smart-UPS Ultra. To pierwszy w branży...
01.12.2022

Przełączniki 10G dla MŚP

Nowe urządzenia to przełączniki 10G kompatybilne z systemem Omada SDN.
01.12.2022

Zarządzanie danymi

Firma Synology wprowadziła na rynek czterokieszeniowy DiskStation DS923+.
01.12.2022

Nowatorski system chłodzenia

OVHcloud zaprezentował nową, autorską technologię hybrydowego zanurzeniowego chłodzenia...
01.12.2022

Linia smart routerów

D-Link zaprezentował najnowszą rodzinę routerów Smart Wi-Fi z algorytmami sztucznej...
04.11.2022

Nowa platforma Red Hat

Nowa platforma Red Hat Enterprise Linux (RHEL) w wersjach 8.7 i 9.1 Beta obsługuje...

Ochrona przed atakami brute force

Data publikacji: 05-09-2016 Autor: Adam Wróblewski
Rys. 1. Wiadomość e-mail...
Rys. 2. Reguła blokująca...
Rys. 3. Wiadomość wysłana...

Przedstawiamy możliwości narzędzia Fail2Ban, którego zadaniem jest blokowanie dostępu do wybranych usług na określony okres. Opisujemy proces instalacji, konfiguracji i sposób monitorowania jego pracy w dystrybucji Debian GNU/Linux 8.4 (jessie) na przykładzie SSH.

Jako posiadacze kart bankomatowych wszyscy znamy zabezpieczenie polegające na tym, że po kilkukrotnym wprowadzeniu nieprawidłowego kodu PIN dostęp do używanej karty zostaje zablokowany. Społeczność otwartego oprogramowania przygotowała narzędzie o nazwie Fail2Ban, którego zadaniem jest blokowanie dostępu na określony czas, np. godzinę, do serwera działającego pod kontrolą Linuksa lub FreeBSD w podobnych sytuacjach, zwanych atakami brute force.

> Przygotowanie

Wszystkie opisywane czynności wykonywać będziemy z poziomu konta root, na które możemy zalogować się, korzystając z komendy su root.

W celu instalacji Fail2Ban i potrzebnych do jego działania komponentów skorzystamy z następujących repozytoriów umieszczonych w pliku /etc/apt/sources.list (możemy go edytować w razie potrzeby, np. używając vi lub nano).

deb http://ftp.pl.debian.org/debian/ stable
main contrib non-free
deb http://security.debian.org/ stable/updates
main contrib non-free
deb http://ftp.pl.debian.org/debian stable-updates
main contrib non-free

Przed przystąpieniem do zainstalowania nowego oprogramowania zaktualizujemy listy pakietów za pomocą komendy aptitude update. Rekomendujemy także wykonanie pełnej aktualizacji systemu, korzystając z polecenia aptitude upgrade -y.

> Instalacja i konfiguracja fail2ban

Następnie instalujemy fail2ban oraz ssmtp – program współpracujący z fail2ban, który po zablokowaniu dostępu do danego serwera dla konkretnego adresu IP wyśle wiadomość e-mail z informacją na temat tego zdarzenia do administratora systemu. W tym celu wprowadzamy następującą komendę:

aptitude install -y fail2ban ssmtp

Konfigurację fail2ban rozpoczynamy od skopiowania pliku ustawień jail.conf do jail.local, w którym wprowadzać będziemy pożądane ustawienia. Aby to zrobić, korzystamy z polecenia:

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

W kolejnym kroku przystępujemy do edycji pliku /etc/fail2ban/jail.local, używając edytora nano:

nano /etc/fail2ban/jail.local

Wspomniany plik jest podzielony na kilka części. W sekcji DEFAULT znajdują się domyślnie ustawienia, stosowane wówczas, gdy nie zostaną zdefiniowane inne na poziomie konkretnego jaila, który na przykład może monitorować logowanie do danej usługi, takiej jak SSH lub serwer FTP. Najważniejsze ustawienia to:

 

  • ignoreip – określa adresy IP, które nie są monitorowane przez fail2ban w zakresie nadużyć. Domyślnie jest to 127.0.0.1/8, czyli są to połączenia z maszyny lokalnej, na której jest uruchomione narzędzie;
  • bantime – określa czas banicji, czyli blokady dostępu do danej usługi lub serwera po wykryciu nadużycia przez fail2ban. Jest to wartość określana w sekundach;

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik \"IT Professional\"