So verwenden Sie das Fail2ban-Tool, um Brute-Force-Versuche zu verhindern

So verwenden Sie das Fail2ban-Tool, um Brute-Force-Versuche zu verhindern

Einleitung: Die Popularität des Internets hat Netzwerksicherheitsfragen zu einem sehr wichtigen Thema gemacht. Unter diesen zählen Brute-Force-Angriffe zu den häufigsten Sicherheitsbedrohungen. Um Brute-Force-Cracking-Verhalten wirksam zu verhindern, können wir das Tool Fail2ban nutzen, das uns bei der Umsetzung von Schutzmaßnahmen unterstützt. In diesem Artikel wird beschrieben, wie Sie mit dem Fail2ban-Tool Brute-Force-Versuche verhindern können, und es werden einige Codebeispiele bereitgestellt.

1. Einführung in das Fail2ban-Tool

Fail2ban ist ein Open-Source-Firewall-Tool, das speziell zur Überwachung von Systemprotokollen und zur Konfiguration von Regeln zum Erkennen und Blockieren von IP-Adressen mit böswilligen Absichten verwendet wird. Es kann die Protokolldateien des Systems automatisch überwachen und wenn es häufige fehlgeschlagene Anmeldeversuche erkennt, wird der Zugriff auf die IP-Adresse vorübergehend gesperrt, um Brute-Force-Cracking zu verhindern.

2. Fail2ban installieren

Bevor wir beginnen, müssen wir zunächst das Fail2ban-Tool installieren. Auf den meisten Linux-Distributionen kann es über den Paketmanager installiert werden:

sudo apt-get install fail2ban

3. Fail2ban konfigurieren

1. Eine Konfigurationsdatei erstellen

Bevor wir Fail2ban konfigurieren, müssen wir eine neue Konfigurationsdatei erstellen. Führen Sie den folgenden Befehl im Terminal aus:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Dadurch wird die Standard-Fail2ban-Konfigurationsdatei in eine neue Datei kopiert.

2. Konfigurationsdatei bearbeiten

Öffnen Sie die neu erstellte Konfigurationsdatei /etc/fail2ban/jail.local und bearbeiten Sie sie nach Bedarf. Im Folgenden sind einige häufige Konfigurationselemente aufgeführt:

• ignoreip: Bestimmte IP-Adressen ignorieren und diese nicht erkennen und blockieren. Zum Beispiel:ignoreip = 127.0.0.1/8
• bantime: Bannzeit in Sekunden. Der Standardwert beträgt 600 Sekunden. Beispiel: bantime = 3600
• maxretry: Maximale Anzahl von Wiederholungsversuchen. Wenn die Anzahl aufeinanderfolgender Ausfälle einer IP-Adresse innerhalb eines bestimmten Zeitraums diesen Wert überschreitet, wird die IP-Adresse gesperrt. Beispiel: maxretry = 5
• destemail: Wenn eine IP-Adresse gesperrt ist, die Ziel-E-Mail-Adresse für den Versand von E-Mail-Benachrichtigungen. Beispiel: destemail = admin@example.com
• Aktion: Die Aktion, die den Sperrvorgang auslöst. Dies kann das Senden einer E-Mail-Benachrichtigung (Administrator), das Hinzufügen zur Firewall (RBLOCK) usw. sein. Zum Beispiel: action = %(action_mwl)s

Hier ist eine Beispielkonfiguration:

[DEFAULT]
ignoreip = 127.0.0.1/8
bantime = 3600
maxretry = 5
destemail = admin@example.com
action = %(action_mwl)s

[sshd]
enabled = true
port = ssh
logpath = %(sshd_log)s

In dieser Beispielkonfiguration ignorieren wir die lokale IP-Adresse, setzen die Sperrzeit auf 1 Stunde und die maximale Anzahl von Wiederholungsversuchen auf 5 . Wenn eine IP-Adresse gesperrt wird, wird eine E-Mail-Benachrichtigung an admin@example.com gesendet und die IP-Adresse wird auch zu den Firewall-Regeln hinzugefügt.

3. Speichern und schließen Sie die Datei.

Nach Abschluss der Konfiguration speichern und schließen Sie die Datei.

4. Fail2ban starten

Nachdem die Konfiguration abgeschlossen ist, müssen wir den Fail2ban-Dienst starten, damit er wirksam wird. Führen Sie den folgenden Befehl im Terminal aus:

sudo systemctl start fail2ban

Darüber hinaus können Sie Fail2ban auch so einstellen, dass es automatisch beim Booten startet, wodurch sichergestellt wird, dass es beim Systemstart automatisch ausgeführt wird:

sudo systemctl enable fail2ban

5. Testen Sie Fail2ban

Endlich können wir es durchführen einige Tests, um zu überprüfen, ob das Fail2ban-Tool ordnungsgemäß funktioniert.

1. Versuchen Sie es mit Brute-Force-Cracking

Um die Schutzfähigkeit von Fail2ban zu testen, können wir versuchen, uns mit einem falschen Passwort beim Server anzumelden. Zum Testen können Sie den Befehl ssh verwenden:

ssh username@your_server_ip

Nach mehreren Versuchen sollte Fail2ban diese Fehlversuche automatisch erkennen und die entsprechende IP-Adresse sperren.

2. Überprüfen Sie das Sperrprotokoll

Um zu sehen, welche IP-Adressen gesperrt wurden, können Sie den folgenden Befehl ausführen:

sudo fail2ban-client status

Dadurch wird die Liste der derzeit gesperrten IP-Adressen angezeigt.

Fazit:

Durch den Einsatz des Fail2ban-Tools können wir Brute-Force-Versuche wirksam verhindern. Mithilfe der Konfigurationsregeln von Fail2ban können wir die Protokolldateien des Systems automatisch überwachen und bösartige IP-Adressen für häufige fehlgeschlagene Anmeldeversuche blockieren. Dies kann die Sicherheit des Systems erheblich verbessern und die Sicherheit der Server- und Benutzerdaten schützen.

Referenzlink:

• [Offizielle Website von Fail2ban](https://www.fail2ban.org/)
• [Fail2ban GitHub-Repository](https://github.com/fail2ban/fail2ban)

Das obige ist der detaillierte Inhalt vonSo verwenden Sie das Fail2ban-Tool, um Brute-Force-Versuche zu verhindern. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!