Как да конфигурирам fail2ban, за да защитя вашия Apache HTTP сървър
Codeby web-security - нов курс от Codeby Security School
Представяме на вашето внимание нов курс от екипа Кодът - "Тестване на проникване на уеб приложения от нулата". Обща теория, Подготовка на работната среда, Пасивно размиване и пръстови отпечатъци, Активно размиване, Уязвимости, След експлоатация, Инструменти, Социално инженерство и др. Повече информация .
В този урок ще демонстрирам Как да конфигурирам fail2ban за защита на Apache HTTP сървър. Предполагам, че вече имате инсталиран Apache HTTP сървър и fail2ban. Може да ви интересува и инструкцията „Как да защитя SSH сървър от груби атаки (груба сила) с помощта на fail2ban“.
Какво е затвор Fail2ban
Нека се спрем малко на подробностите за затворите за fail2ban. Jail дефинира специфични за приложението политики, за които fail2ban задейства задействане на действие, предназначено да защити приложението. fail2ban се предлага с няколко предварително дефинирани затвори в /etc/fail2ban/jail.conf за популярни приложения като Apache, Dovecot, Lighttpd, MySQL, Postfix, SSH и т.н. Всеки затвор разчита на филтри, различни за всяко приложение (намерени в /etc/fail2ban/fileter.d), за да идентифицира често срещаните атаки. Нека разгледаме един от примерите за затвора: SSH затвор.
Конфигурацията на SSH затвора се определя от няколко параметъра:
- [ssh]: името на затвора в квадратни скоби.
- активиран: активиран ли е затворът.
- пристанище: номер на порта, който трябва да бъде защитен (може да е номер или добре познато име).
- филтър: правило за анализиране на дневника за откриване на атака.
- logpath: регистрационният файл за проверка.
- максретри: максимален брой грешки преди забрана.
- бананция: действие за забрана.
Всеки даден параметър в конфигурацията на затвора ще замени съответния параметър по подразбиране, определен от конфигурационните файлове fail2ban. И обратно, всеки липсващ параметър ще бъде взет от стойността по подразбиране, дефинирана в раздела [DEFAULT].