Instalacja fail2ban pod CentOS 6.x

Wprowadzenie

fail2ban to narzędzie służące do blokowania dostępu do komputera na podstawie ciągłego monitoringu i analizy głównych logów systemowych.  Mechanizm jest bardzo elastyczny i zaawansowanym użytkownikom pozwala na relatywnie łatwe dodawanie reguł do monitoringu nowych usług.

W tym wpisie zostanie pokazane wykorzystanie fail2ban do blokowania ataków typu brute-force na protokół ssh.  W prezentowanym przykładzie, po uruchomieniu, fail2ban będzie śledzić nowe wpisy w pliku /var/log/secure i gdy wykryje próbę ataku brute-force to przy pomocy filtra pakietów iptables zablokuje dostęp do systemu ze źródłowego adresu IP.

Opis dotyczy dystrybucji CentOS 6.

Repozytorium EPEL

Do szybkiej i łatwej instalacji oprogramowania pod CentOS, najlepiej jest skorzystać z repozytorium pakietów rpm. Ponieważ domyślne repozytoria nie zawierają pakietów do instalacji fail2ban, to trzeba dodać repozytorium EPEL:

Instalacja

Po dodaniu do systemu repozytorium EPEL, instalacja fail2ban sprowadza się do wywołania komendy yum intall:

Konfiguracja

Plik konfiguracyjny w którym można aktywować monitoring poszczególnych usług to /etc/fail2ban/jail.conf. Tak naprawdę domyślna konfiguracja ustawiana przez ten plik zakłada właśnie monitorowanie usługi sshd. Zalecane jest żeby wszelkich zmian konfiguracyjnych dokonywać na kopii tego pliku /etc/fail2ban/jail.local.

Gdy fail2ban blokuje dostęp do usługi to pod wskazany w pliku konfiguracyjnym adres wysyła email-a ze stosowną informacją. Adres zdefiniowany w ramach domyślnych ustawień jest tylko przykładowym, i za pewne nie istniejącym w rzeczywistości  adresem (you@example.com).

Jeśli chcemy żeby maile były wysyłane na nasz rzeczywisty adres to w pliku /etc/fail2ban/jail.conf odnajdujemy poniższy fragment:

i w miejscu gdzie widać ciąg znaków you@example.com, wstawiamy własny adres email.

Uruchomienie

Narzędzie fail2ban integruje się z systemowym mechanizmem usług, dlatego jego uruchomienie oraz aktywowanie uruchamiania przy startowaniu systemu, wygląda tak jak dla innych usług:

Napisano w Administracja, Bezpieczeństwo