Com instal·lar Fail2Ban per protegir SSH a CentOS/RHEL 8

Fail2ban és una eina de prevenció d'intrusions gratuïta, de codi obert i àmpliament utilitzada que escaneja fitxers de registre per a adreces IP que mostren signes maliciosos, com ara massa errors de contrasenya i molt més, i els prohibeix (actualitza les regles del tallafoc per rebutjar les adreces IP) . Per defecte, s'envia amb filtres per a diversos serveis, inclòs sshd.

En aquest article, explicarem com instal·lar i configurar fail2ban per protegir SSH i millorar la seguretat del servidor SSH contra atacs de força bruta a CentOS/RHEL 8.

Instal·lació de Fail2ban a CentOS/RHEL 8

El paquet fail2ban no es troba als repositoris oficials, però està disponible al repositori EPEL. Després d'iniciar sessió al vostre sistema, accediu a una interfície de línia d'ordres i, a continuació, activeu el repositori EPEL al vostre sistema tal com es mostra.

# dnf install epel-release
OR
# dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm

Després, instal·leu el paquet Fail2ban executant l'ordre següent.

# dnf install fail2ban

Configuració de Fail2ban per protegir SSH

Els fitxers de configuració de fail2ban es troben al directori /etc/fail2ban/ i els filtres s'emmagatzemen al directori /etc/fail2ban/filter.d/ (el fitxer de filtre per a sshd és /etc/fail2ban/filter.d/sshd.conf) .

El fitxer de configuració global del servidor fail2ban és /etc/fail2ban/jail.conf, però, no es recomana modificar aquest fitxer directament, ja que probablement es sobreescriurà o es millorarà en cas d'actualització del paquet en el futur.

Com a alternativa, es recomana crear i afegir les vostres configuracions en un fitxer jail.local o fitxers .conf separats al directori /etc/fail2ban/jail.d/. Tingueu en compte que els paràmetres de configuració establerts a jail.local substituiran el que estigui definit a jail.conf.

Per a aquest article, crearem un fitxer separat anomenat jail.local al directori /etc/fail2ban/ tal com es mostra.

# vi /etc/fail2ban/jail.local

Un cop obert el fitxer, copieu i enganxeu-hi la configuració següent. La secció [DEFAULT] conté opcions globals i [sshd] conté paràmetres per a la presó sshd.

[DEFAULT] 
ignoreip = 192.168.56.2/24
bantime  = 21600
findtime  = 300
maxretry = 3
banaction = iptables-multiport
backend = systemd

[sshd] 
enabled = true

Expliquem breument les opcions de la configuració anterior:

  • ignoreip: especifica la llista d'adreces IP o noms d'amfitrió que no cal prohibir.
  • bantime: ha especificat el nombre de segons durant els quals un amfitrió està prohibit (és a dir, la durada efectiva de la prohibició).
  • maxretry: especifica el nombre d'errors abans que un host sigui prohibit.
  • findtime: fail2ban prohibirà un host si ha generat maxretry durant els últims findtime segons.
  • banaction: prohibir l'acció.
  • backend: especifica el backend utilitzat per obtenir la modificació del fitxer de registre.

La configuració anterior, per tant, significa que si una IP ha fallat 3 vegades en els últims 5 minuts, prohibiu-la durant 6 hores i ignoreu l'adreça IP 192.168.56.2.

A continuació, inicieu i activeu el servei fail2ban de moment i comproveu si està en funcionament mitjançant la següent comanda systemctl.

# systemctl start fail2ban
# systemctl enable fail2ban
# systemctl status fail2ban

Supervisió de l'adreça IP fallida i prohibida mitjançant fail2ban-client

Després de configurar fail2ban per assegurar sshd, podeu supervisar les adreces IP fallides i prohibides mitjançant el client fail2ban. Per veure l'estat actual del servidor fail2ban, executeu l'ordre següent.

# fail2ban-client status

Per supervisar la presó sshd, executeu.

# fail2ban-client status sshd

Per desbancar una adreça IP a fail2ban (a totes les presons i bases de dades), executeu l'ordre següent.

# fail2ban-client unban 192.168.56.1

Per obtenir més informació sobre fail2ban, llegiu les pàgines de manual següents.

# man jail.conf
# man fail2ban-client

Això resumeix aquesta guia! Si teniu cap pregunta o pensament que voleu compartir sobre aquest tema, no dubteu a posar-vos en contacte amb nosaltres mitjançant el formulari de comentaris que trobareu a continuació.