potansiyel ufw ve fail2ban çatışmaları


45

Hem fail2ban hem de ufw çalıştırmak sorunlara neden olur mu? Fail2ban'ın iptables kurallarını değiştirdiğini fark ettim, ancak ufw zaten tanımlanmış bir ton iptables kuralına sahipti ... bu yüzden fail2ban'ın bunları karıştıracağından emin değilim.


Hangi Ubuntu sürümü? ('ufw', 10.04 LTS ve 11.x arasında biraz iyileşmiştir )
david6

@ david6: üzgünüm, soruyu sorduğumda hangi sürümü kullandığımı hatırlamıyorum.
Adam Monsen

Yanıtlar:


49

Ufw ve fail2b'yi birlikte kullanabilirsiniz, ancak daha önce belirtildiği gibi, (ufw) kurallarının sırası önemlidir.

Kutudan, fail2ban iptables kullanır ve ilk INPUT zincirinde kuralları ekler. Bu, UFW ile herhangi bir zarar vermeyecek veya herhangi bir zarar vermeyecektir.

Tamamen fail2ban'ı ufw (yerine iptables) kullanmak için bütünleştirmek istiyorsanız. Aşağıdakiler de dahil olmak üzere birçok dosyayı düzenlemeniz gerekecektir.

/etc/fail2ban/jail.local

jail.local, hangi bağlantı noktasını dinlediklerini (ssh'yi varsayılan olmayan bir bağlantı noktasına değiştirmeyi düşünün) ve ne gibi bir işlem yapılacağını içeren hizmetlerinizi tanımladığınız yerdir.

** Lütfen dikkat *: Asla jail.conf dosyasını düzenleme , değişikliklerin mutlaka yapılmalıdır jail.local! Bu dosya şununla başlar:

# Changes:  in most of the cases you should not modify this
#           file, but provide customizations in jail.local file,
#           or separate .conf files under jail.d/ directory

Örnek olarak ssh kullanıldığında, varsayılan olmayan bir portun tanımına da dikkat edin =)

[ssh]
enabled = true
banaction = ufw-ssh
port = 2992
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

Daha sonra fail2ban'ı ufw in kullanacak şekilde yapılandırın (her hizmet için bir .conf dosyası)

/etc/fail2ban/action.d/ufw-ssh.conf

Sözdizimi

[Definition]
actionstart =
actionstop =
actioncheck =
actionban = ufw insert 1 deny from <ip> to any app OpenSSH
actionunban = ufw delete deny from <ip> to any app OpenSSH

Not: fail2ban'ı ufw kullanacak ve "insert 1" sözdizimini kullanarak İLK yeni kurallar ekleyecek şekilde konfigüre edersiniz . Silme, siparişten bağımsız olarak kuralı bulur.

Burada daha fazla ayrıntıya giren hoş bir blog yazısı var

http://blog.vigilcode.com/2011/05/ufw-with-fail2ban-quick-secure-setup-part-ii/

[EDIT] Ubuntu 16.04+ için

varsayılan olarak içeriğe sahip bir " defaults-debian.conf"/etc/fail2ban/jail.d

[sshd]
enabled = true

ss fail2ban'ın bir ssh korumasını etkinleştirecektir.

Yanlışa koyman gerek.

Öyleyse, genel olarak yapacağınız gibi bir hapishane oluşturun. Benimki şu şekilde olurdu:

[ssh-with-ufw] 
enabled = true 
port = 22 
filter = sshd 
action = ufw[application="OpenSSH", blocktype=reject] 
logpath = /var/log/auth.log 
maxretry = 3

Fail2ban varsayılan kurulumunda zaten bir ufw.conf var, bu yüzden bir tane oluşturmanıza gerek yok.

Jail.local sizin için yapılacak tek özel değişiklik, koruma ve bununla ilgili olarak neyi elde etmek istediğinizle ilgili uygulamayı koymanız gereken eylem satırında olacaktır.

ufw, ağı kullanarak çalışan belirli bir uygulamayı otomatik olarak tespit etme eğilimindedir. Listeye sahip olmak için sadece yazın sudo ufw app list. Büyük / küçük harfe duyarlıdır.

fail2ban'ı yeniden yüklerseniz, artık fail2ban zincirini göremezsiniz ve herhangi bir IP bloğu alırsa bunu göreceksiniz. sudo ufw status


7
Kısacası: açıklandığı gibi entegrasyon yapmadan, hem ufw hem de fail2ban olması gerektiği gibi çalışır. Fail2ban, ufw kuralları uygulanmadan önce engelleme tanımlarını ekleyecektir. Öte yandan, biri blokların görünmesini ufw statusistiyorsanız, entegrasyona ihtiyacınız vardır. Blokların ortaya ufw statusçıkmasının yanı sıra , başka bir faydası olmaz mı? Blogun yazarı aşağıdaki diyor Özellikle çünkü: Fail2ban iptables kuralları ile çalışır kutusunun Out Ancak bu (...) bizim basit UFW komutları ile oynamak güzel değil
Bouke

1
Kesinlikle. "Güzel oynama", ufw durumunu kontrol ederken görünmeme anlamına gelir. Entegrasyonun faydaları, güvenlik duvarı kurallarınızı yönetmek ve görüntülemek için bir araç (ufw) kullanmanızdır. Fail2ban işlevini kutudan çıktığı gibi işlev açısından kullanmakta yanlış bir şey yoktur. Sorun, fail2ban kurallarını görmek için iptables -L -v -n komutunu kullanmanız gerekecek ve zaten görebileceğiniz gibi, ufw kullanılırken çıktının izlenmesi uzun ve zordur. Entegrasyonun avantajı, kuralların ve söz diziminin daha kolay anlaşılmasıdır (ilk başta ufw kullandığınızın varsayımıyla)
Panther

Kayıt için, bağladığınız sitedeki herhangi bir yeri tıklarsanız, kötü amaçlı yazılım / reklam yazılımlara yönlendirilirsiniz.
Antonio Cangiano

@AntonioCangiano - Link burada iyi çalışıyor, tarayıcınızı ve DNS’inizi kontrol edin
Panther

@ bodhi.zazen Bağlantılı makaleye yapılan herhangi bir tıklama, Antonio'nun doğru bir şekilde işaret ettiği gibi, sahte bir web sitesine yönlendirilir. Bu tür bir makaleden güvenlik tavsiyesi almak konusunda isteksizim.
Goran Miskoviç

4

Bir kaç farklı bilgisayarda fail2ban ve ufw kullanıyorum ve hiç sorun yaşamadım. Fail2ban'ı kurmak için:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano jail.local

Şimdi dosyayı istediğiniz gibi düzenleyin, örneğin yetkisiz ssh'yi engellemek istiyorsanız satırları bulun:

[ssh]
enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 6

"etkin" "yanlış" olarak ayarlanmışsa, burada belirtildiği gibi "gerçek" olarak değiştirin. Kuralları belirledikten sonra fail2ban işlemini yeniden başlatmanız gerekir:

sudo /etc/init.d/fail2ban restart

Ufw firewall'da 22 numaralı bağlantı noktasını açtıysanız fail2ban, 6 kereden daha fazla bağlanmaya çalışan istemcileri başarılı bir şekilde engelleyecektir, güvenlik duvarınızı bozmaz.


4

Fail2ban'ın 0.9.5'ini ufwkurmak, yalnızcabanaction


2
Kayıt için, eylem 0.8.13 versiyonunda da mevcut
Joril
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.