Hem fail2ban hem de ufw çalıştırmak sorunlara neden olur mu? Fail2ban'ın iptables kurallarını değiştirdiğini fark ettim, ancak ufw zaten tanımlanmış bir ton iptables kuralına sahipti ... bu yüzden fail2ban'ın bunları karıştıracağından emin değilim.
Hem fail2ban hem de ufw çalıştırmak sorunlara neden olur mu? Fail2ban'ın iptables kurallarını değiştirdiğini fark ettim, ancak ufw zaten tanımlanmış bir ton iptables kuralına sahipti ... bu yüzden fail2ban'ın bunları karıştıracağından emin değilim.
Yanıtlar:
Ufw ve fail2b'yi birlikte kullanabilirsiniz, ancak daha önce belirtildiği gibi, (ufw) kurallarının sırası önemlidir.
Kutudan, fail2ban iptables kullanır ve ilk INPUT zincirinde kuralları ekler. Bu, UFW ile herhangi bir zarar vermeyecek veya herhangi bir zarar vermeyecektir.
Tamamen fail2ban'ı ufw (yerine iptables) kullanmak için bütünleştirmek istiyorsanız. Aşağıdakiler de dahil olmak üzere birçok dosyayı düzenlemeniz gerekecektir.
/etc/fail2ban/jail.local
jail.local, hangi bağlantı noktasını dinlediklerini (ssh'yi varsayılan olmayan bir bağlantı noktasına değiştirmeyi düşünün) ve ne gibi bir işlem yapılacağını içeren hizmetlerinizi tanımladığınız yerdir.
** Lütfen dikkat *: Asla jail.conf dosyasını düzenleme , değişikliklerin mutlaka yapılmalıdır jail.local
! Bu dosya şununla başlar:
# Changes: in most of the cases you should not modify this
# file, but provide customizations in jail.local file,
# or separate .conf files under jail.d/ directory
Örnek olarak ssh kullanıldığında, varsayılan olmayan bir portun tanımına da dikkat edin =)
[ssh]
enabled = true
banaction = ufw-ssh
port = 2992
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
Daha sonra fail2ban'ı ufw in kullanacak şekilde yapılandırın (her hizmet için bir .conf dosyası)
/etc/fail2ban/action.d/ufw-ssh.conf
Sözdizimi
[Definition]
actionstart =
actionstop =
actioncheck =
actionban = ufw insert 1 deny from <ip> to any app OpenSSH
actionunban = ufw delete deny from <ip> to any app OpenSSH
Not: fail2ban'ı ufw kullanacak ve "insert 1" sözdizimini kullanarak İLK yeni kurallar ekleyecek şekilde konfigüre edersiniz . Silme, siparişten bağımsız olarak kuralı bulur.
Burada daha fazla ayrıntıya giren hoş bir blog yazısı var
http://blog.vigilcode.com/2011/05/ufw-with-fail2ban-quick-secure-setup-part-ii/
[EDIT] Ubuntu 16.04+ için
varsayılan olarak içeriğe sahip bir " defaults-debian.conf
"/etc/fail2ban/jail.d
[sshd]
enabled = true
ss fail2ban'ın bir ssh korumasını etkinleştirecektir.
Yanlışa koyman gerek.
Öyleyse, genel olarak yapacağınız gibi bir hapishane oluşturun. Benimki şu şekilde olurdu:
[ssh-with-ufw]
enabled = true
port = 22
filter = sshd
action = ufw[application="OpenSSH", blocktype=reject]
logpath = /var/log/auth.log
maxretry = 3
Fail2ban varsayılan kurulumunda zaten bir ufw.conf var, bu yüzden bir tane oluşturmanıza gerek yok.
Jail.local sizin için yapılacak tek özel değişiklik, koruma ve bununla ilgili olarak neyi elde etmek istediğinizle ilgili uygulamayı koymanız gereken eylem satırında olacaktır.
ufw, ağı kullanarak çalışan belirli bir uygulamayı otomatik olarak tespit etme eğilimindedir. Listeye sahip olmak için sadece yazın sudo ufw app list
. Büyük / küçük harfe duyarlıdır.
fail2ban'ı yeniden yüklerseniz, artık fail2ban zincirini göremezsiniz ve herhangi bir IP bloğu alırsa bunu göreceksiniz. sudo ufw status
ufw status
istiyorsanız, entegrasyona ihtiyacınız vardır. Blokların ortaya ufw status
çıkmasının yanı sıra , başka bir faydası olmaz mı? Blogun yazarı aşağıdaki diyor Özellikle çünkü: Fail2ban iptables kuralları ile çalışır kutusunun Out Ancak bu (...) bizim basit UFW komutları ile oynamak güzel değil
Bir kaç farklı bilgisayarda fail2ban ve ufw kullanıyorum ve hiç sorun yaşamadım. Fail2ban'ı kurmak için:
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano jail.local
Şimdi dosyayı istediğiniz gibi düzenleyin, örneğin yetkisiz ssh'yi engellemek istiyorsanız satırları bulun:
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
"etkin" "yanlış" olarak ayarlanmışsa, burada belirtildiği gibi "gerçek" olarak değiştirin. Kuralları belirledikten sonra fail2ban işlemini yeniden başlatmanız gerekir:
sudo /etc/init.d/fail2ban restart
Ufw firewall'da 22 numaralı bağlantı noktasını açtıysanız fail2ban, 6 kereden daha fazla bağlanmaya çalışan istemcileri başarılı bir şekilde engelleyecektir, güvenlik duvarınızı bozmaz.
Fail2ban'ın 0.9.5'ini ufw
kurmak, yalnızcabanaction