Admin: Новая страница: «=== Установка и запуск === Для систем на базе пакетов Debian или Red Hat команды будут немного отличаться. '''а) CentOS / Red Hat:'''

 yum install epel-release, fail2ban -y

'''б) Ubuntu / Debian:'''

 apt-get install fail2ban

Для запуска службы вводим следующие команды:

 systemctl enable fail2ban systemctl start fail2ba...»

2024-10-10T10:41:12Z

Новая страница: «=== Установка и запуск === Для систем на базе пакетов Debian или Red Hat команды будут немного отличаться. '''а) CentOS / Red Hat:''' <pre> yum install epel-release, fail2ban -y </pre> '''б) Ubuntu / Debian:''' <pre> apt-get install fail2ban </pre> Для запуска службы вводим следующие команды: <pre> systemctl enable fail2ban systemctl start fail2ba...»

Новая страница

=== Установка и запуск ===
Для систем на базе пакетов Debian или Red Hat команды будут немного отличаться.

'''а) CentOS / Red Hat:'''
<pre>
yum install epel-release, fail2ban -y
</pre>

'''б) Ubuntu / Debian:'''
<pre>
apt-get install fail2ban
</pre>

Для запуска службы вводим следующие команды:
<pre>
systemctl enable fail2ban
systemctl start fail2ban
</pre>

=== Базовая настройка ===
Процесс настройки fail2ban не зависит от дистрибутива Linux. Основной конфигурационный файл находится по пути '''/etc/fail2ban/jail.conf'''. Однако, его не рекомендуется менять и для настройки используют подключаемые файлы из каталога '''/etc/fail2ban/jail.d'''.

Для начала создаем первый файл, в котором будут храниться настройки по умолчанию:
<pre>
nano /etc/fail2ban/jail.d/default.conf
</pre>
Приведем его к виду. Настройка будет немного отличаться в зависимости от операционной системы.

'''а) для CentOS / Red Hat:'''
<pre>
[DEFAULT]
maxretry = 4
findtime = 480
bantime = 720
action = firewallcmd-ipset
ignoreip = 127.0.0.1/8
</pre>

'''б) для Ubuntu / Debian:'''
<pre>
[DEFAULT]
maxretry = 4
findtime = 480
bantime = 720
action = iptables
ignoreip = 127.0.0.1/8
</pre>

''* где:''

* '''''maxretry''' — количество действий, которые разрешено совершить до бана.''
* '''''findtime''' — время в секундах, в течение которого учитывается maxretry;''
* '''''bantime''' — время, на которое будет блокироваться IP-адрес;''
* '''''action''' — действия, которое будет выполняться, если Fail2ban обнаружит активность, соответствующую критериям поиска;''
* '''''ignoreip''' — игнорировать защиту, если запросы приходят с перечисленных адресов.''
''* В данном примере, если в течение 8 минут (480) будет найдено 5 строк (maxretry = 4), содержащих критерий фильтра, Fail2ban заблокирует IP-адрес, с которого идет подключение на 12 минут (720);''
''* В секции [DEFAULT] хранятся общие настройки для всех правил. Каждую из настроек можно переопределить при конфигурировании самого правила.''

=== Настройка правил ===
Для нового правила необходимо создать конфигурационный файл в каталоге '''/etc/fail2ban/jail.d''', например:
<pre>
nano /etc/fail2ban/jail.d/service.conf
</pre>
<pre>
[ssh]
enabled = true
port = ssh
filter = sshd
action = iptables[name=sshd, port=ssh, protocol=tcp]
logpath = /var/log/auth.log
maxretry = 10
findtime = 600
</pre>
''* где:''

* '''''ssh''' — название для правила;''
* '''''enabled''' позволяет быстро включать (true) или отключать (false) правило;''
* '''''port''' — порт целевого сервиса. Принимается буквенное или цифирное обозначение;''
* '''''filter''' — фильтр (критерий поиска), который будет использоваться для поиска подозрительных действий. По сути, это имя файла из каталога /etc/fail2ban/filter.d без .conf на конце;''
* '''''action''' — действие, совершаемое в случае срабатывания правила. В квадратных скобках указаны название для правила, сетевой порт и протокол для блокирования;''
* '''''logpath''' — расположение лог-файла, в котором фильтр будет искать подозрительную активность на основе описанных критериев.''

''* обратите внимание, что мы переопределили параметры по умолчанию maxretry, findtime и action.''

<big>В некоторых системах после установки fail2ban автоматически создается правило для SSH, поэтому нет необходимости его создавать. Получить список всех правил можно командами, описанными ниже.</big>

Чтобы изменения вступили в силу, перезапускаем сервис:
<pre>
systemctl restart fail2ban
</pre>

=== Исключения ===
Для гарантии, что fail2ban не заблокирут компьютер администратора или другой важный узел, предусмотрена настройка исключений с помощью опции ignoreip. Опция может быть применена как на глобальном уровне (default), так и для конкретного правила.

Для того, чтобы задать общую настройку, откроем наш файл default:
<pre>
nano /etc/fail2ban/jail.d/default.conf
</pre>
... и добавим:
<pre>
[DEFAULT]
...
ignoreip = 192.168.0.0/24 95.95.95.95
</pre>
''* в данном примере под фильтры не будут попадать адреса с '''192.168.0.1''' по '''192.168.0.255''' и адрес '''95.95.95.95'''.''

Для конкретного правила настройки будут, примерно, следующие:
<pre>
nano /etc/fail2ban/jail.d/ssh.conf
</pre>
<pre>
[ssh]
...
ignoreip = 192.168.1.22
</pre>
* в данном примере мы добавили в белый список один адрес '''192.168.1.22''', который не будет блокироваться.

Обязательно перезагружаемся, чтобы настройки применились:
<pre>
systemctl restart fail2ban
</pre>
''* добавление адреса в белый список не удаляет его из блокировки. Поэтому, если IP попал в блок, нужно будет его удалить вручную.''

=== Действия и фильтры ===

==== Действия ====
Файлы с настройкой действий находятся в каталоге '''/etc/fail2ban/action.d'''. Чтобы блокировать адрес, Fail2ban создает правило в брандмауэре netfilter. Для этого, чаще всего, используются утилиты iptables или firewall-cmd. Последняя применяется в последних версиях CentOS / Red Hat / Fedora. iptables более универсальная и может использоваться, почти, во всех системах Linux.

Остановимся на описании самых используемых действий:

* iptables — создание простого правила в netfilter с помощью одноименной утилиты;
* iptables-multiport — использование модуля multiports, позволяющий добавлять диапазоны портов для блокировки;
* iptables-ipset — использование ipset для придания более лаконичного вида правилам;
* iptables-allports — блокирует для адреса все порты;
* firewallcmd-new — создание простого правила в netfilter с помощью firewall-cmd;
* firewallcmd-ipset — добавляет правила с помощью утилиты firewall-cmd, используя ipset;
* firewallcmd-rich-rules — создает rich-rules при помощи firewall-cmd.

Подробнее, как создаются правила в netfilter при помощи iptables и firewalld.

==== Фильтры ====
Фильтры, в основном, представляют набор регулярных выражений для поиска ключевых слов в log-файлах. Они находятся в каталоге '''/etc/fail2ban/filter.d'''.

Для создания и настройки своих фильтров, можно использовать имеющиеся файлы в качестве шпаргалки.

=== Примеры правил ===
В данных примерах блокировка IP-адреса будет происходить на 12 минут после 4-х попыток ввода пароля в течение 8 минут. Эти параметры берутся из настроек [DEFAULT]. Если их нужно переопределить, просто добавляем их при описании правила.

Обратите внимание, что данные правила подразумавают типичное использование итилит для работы с брандмауэром, а именно, для CentOS это firewalld, для Ubuntu — iptables. Однако, в вашей системе могут использоваться другие инструменты. Тогда необходимо это учитывать и правильно указывать значение для опции action.

==== SSH ====
===== CentOS 7 (firewalld) =====
<pre>
nano /etc/fail2ban/jail.d/ssh.conf
</pre>
<pre>
[ssh]
enabled = true
port = ssh
filter = sshd
action = firewallcmd-new[name=sshd]
logpath = /var/log/secure
</pre>

===== CentOS 8/9 (firewalld + systemd) =====
В более новых версиях Linux лог хранится не в файлах а базе systemd. Настройка будет такой:
<pre>
[ssh]
enabled = true
port = ssh
filter = sshd
action = firewallcmd-new[name=sshd]
backend = systemd
</pre>

==== Asterisk ====
а) для iptables:
<pre>
nano /etc/fail2ban/jail.d/asterisk.conf
</pre>
<pre>
[asterisk]
enabled = true
filter = asterisk
action = iptables-allports[name=asterisk, protocol=all]
logpath = /var/log/asterisk/messages
</pre>
б) для firewalld:
<pre>
nano /etc/fail2ban/jail.d/asterisk.conf
</pre>
<pre>
[asterisk]
enabled = true
filter = asterisk
action = firewallcmd-new[name=asterisk, protocol=all]
logpath = /var/log/asterisk/messages
</pre>
''* обратите внимание, что меняется только значение для '''action'''.''

==== NGINX ====
<pre>
nano /etc/fail2ban/jail.d/nginx.conf
</pre>
<pre>
[nginx]
enabled = true
port = http,https
filter = nginx-http-auth
action = iptables-multiport[name=nginx, port="http,https", protocol=tcp]
logpath = /var/log/nginx/error.log
</pre>

==== NGINX DDoS (req limit) ====
Данное правило поможет защитить веб-сервер nginx от DDoS-атак. В некоторых сборках, для данного правило может не оказаться готового фильтра, поэтому в данном примере, мы его создадим вручную.

Для начала, необходимо настроить NGINX:
<pre>
nano /etc/nginx/nginx.conf
</pre>
В раздел http добавим:
<pre>
http {
...
limit_req_zone $binary_remote_addr zone=one:10m rate=25r/s;
...
</pre>
''* данная настройка создает зону с интенсивностью 25 запросов в секунду.''

После настраиваем лимит для конкретного виртуального домена в разделе '''server - location''':
<pre>
server {
...
location / {
...
limit_req zone=one burst=50 nodelay;
...
</pre>
* данная настройка вместе с предыдущей зоной, созданной в секции '''http''', позволит задать лимит — 25 запросов в секунду при всплеске 50 запросов.

Проверяем конфигурационный файл nginx и перезапускаем сервис:
<pre>
nginx -t
systemctl reload nginx
</pre>
В лог-файле (по умолчанию /var/log/nginx/error.log) при превышении лимита подключения мы должны увидеть запись на подобие:
<pre>
2020/11/16 19:11:08 [error] 1330844#1330844: *16640836 limiting requests, excess: 10.520 by zone "one", client: xxx.xxx.xxx.xxx, server: putyato.ru, request: "GET / HTTP/1.1", host: "putyato.ru", referrer: "https://putyato.ru/page1"
</pre>
''* обратите внимание, что в вашем случае путь до лога может быть другой. Он определяется в конфигурационном файле NGINX.''

Теперь можно приступать к настройке fail2ban. Создаем фильтр:
<pre>
nano /etc/fail2ban/filter.d/nginx-limit-req.conf
</pre>
<pre>
[Definition]
ngx_limit_req_zones = [^"]+
failregex = ^\s*\[error\] \d+#\d+: \*\d+ limiting requests, excess: [\d\.]+ by zone "(?:%(ngx_limit_req_zones)s)", client: <HOST>
ignoreregex =
</pre>
''* данный файл может быть уже создан и настроен при установке fail2ban. Если это так, то ничего не меняем и идем дальше.''

Создаем правило в fail2ban:
<pre>
nano /etc/fail2ban/jail.d/nginx-ddos.conf
</pre>

<pre>
[nginx-ddos]
enabled = true
port = http,https
filter = nginx-limit-req
action = iptables-multiport[name=nginxddos, port="http,https", protocol=tcp]
logpath = /var/log/nginx/error.log
</pre>
''* еще раз обращаю внимание на путь '''logpath''' — в вашем случае он может быть другим.''

После настройки не забываем перезапустить fail2ban:
<pre>
systemctl restart fail2ban
</pre>

=== Работа со списком заблокированных адресов ===
==== Просмотр ====
1. Получить список правил можно командой:
<pre>
fail2ban-client status
</pre>
Получить статистику заблокированных адресов для конкретного правила можно следующей командой:
<pre>
fail2ban-client status <имя правила>
</pre>
При наличие заблокированных IP-адресов мы увидим, примерно, следующее:
<pre>
`- action
|- Currently banned: 2
| `- IP list: 31.207.47.55 10.212.245.29
</pre>
2. Вышеописанный вариант не покажет полный список адресов, если их много. Для этого есть команда:
<pre>
fail2ban-client banned
</pre>
Она покажет все заблокированные адреса во всех правилах.

3. С помощью утилит управления брандмауэром.

'''а) iptables:'''
<pre>
iptables -L -n --line
</pre>
'''б) firewall-cmd:'''
<pre>
firewall-cmd --direct --get-all-rules
</pre>

==== Удаление ====
===== Средствами fail2ban: =====

Для удаление адреса из списка вводим:
<pre>
fail2ban-client set <имя правила> unbanip <IP-адрес>
</pre>
например:
<pre>
fail2ban-client set ssh unbanip 31.207.47.55
</pre>
===== С помощью iptables: =====
<pre>
iptables -D <цепочка правил> -s IP-адрес
</pre>
например:
<pre>
iptables -D fail2ban-ssh -s 10.212.245.27
</pre>
===== С помощью firewall-cmd: =====
<pre>
firewall-cmd --direct --permanent --remove-rule <правило>
</pre>
например:
<pre>
firewall-cmd --direct --permanent --remove-rule ipv4 filter f2b-sshd 0 -s 188.134.7.224
</pre>
После необходимо перечитать правила:
<pre>
firewall-cmd --reload
</pre>
<big>Failed during configuration have not found any log file for sshd jail</big>

Начиная с Ubuntu версии 22.04 после установки fail2ban, служба не запускается, а в логе мы можем увидеть ошибку:
=== Возможные ошибки ===
<pre>
Failed during configuration have not found any log file for sshd jail
</pre>
Причина: fail2ban не может найти файл с логами для ssh. Это связано с тем, что в новой версии эти логи попадают не в классический файл /var/log/auth.log, а в журнал systemd, для просмотра которого используется утилита journalctl.

Решение: для настройки ssh нам нужно поменять значение опции backend.

Для этого открываем файл:
<pre>
nano /etc/fail2ban/jail.d/defaults-debian.conf
</pre>
В нем должна быть запись для [sshd]. Добавляем строку:
<pre>
backend = systemd
</pre>
Запускаем fail2ban:
<pre>
systemctl start fail2ban
</pre>

Настройка и использование Fail2ban на CentOS - История изменений