Cómo instalar Fail2ban para proteger a SSH en CentOS/RHEL 8

Fail2ban es una herramienta de prevención de intrusos gratuita, de código abierto y ampliamente utilizada que escanea archivos de registro para direcciones IP que muestran signos maliciosos, como demasiadas fallas de contraseña, y mucho más, y los prohíbe (actualiza las reglas de firewall para rechazar las direcciones IP). Por defecto, se envía con filtros para varios servicios, incluidos SSHD.

Leer también: Configuración inicial del servidor con CentOS/RHEL 8

En este artículo, explicaremos cómo instalar y configurar fail2ban proteger Ssh y mejorar Ssh Seguridad del servidor contra los ataques de la fuerza bruta en CentOS/RHEL 8.

Instalación de Fail2Ban en CentOS/RHEL 8

El fail2ban El paquete no está en los repositorios oficiales, pero está disponible en el Epel repositorio. Después de iniciar sesión en su sistema, acceda a una interfaz de línea de comandos, luego habilite el repositorio EPEL en su sistema como se muestra.

# DNF Instalar Epel-Release o # DNF Instalar https: // dl.federaproject.org/pub/epel/epel-liber-latest-8.noarch.rpm 

Instale el repositorio de Epel en Centos y Rhel 8

Después, instale el Fail2ban paquete ejecutando el siguiente comando.

# DNF Install Fail2Ban 

Instale Fail2Ban en CentOS y RHEL 8

Configuración de Fail2Ban para proteger a SSH

El fail2ban Los archivos de configuración se encuentran en el /etc/fail2ban/ directorio y filtros se almacenan en el /etc/fail2ban/filtro.d/ directorio (el archivo de filtro para SSHD es /etc/fail2ban/filtro.d/sshd.confusión).

El archivo de configuración global para el servidor fail2ban es /etc/fail2ban/cárcel.confusión, Sin embargo, no se recomienda modificar este archivo directamente, ya que probablemente se sobrescribirá o mejorará en caso de una actualización de paquete en el futuro.

Como alternativa, se recomienda crear y agregar sus configuraciones en un celda.local Archivo o separado .confusión Archivos bajo el /etc/fail2ban/cárcel.d/ directorio. Tenga en cuenta que los parámetros de configuración establecidos en celda.local anulará lo que se define en celda.confusión.

Para este artículo, crearemos un archivo separado llamado celda.local en el /etc/fail2ban/ directorio como se muestra.

# vi/etc/fail2ban/cárcel.local 

Una vez que el archivo esté abierto, copie y pegue la siguiente configuración en él. El [POR DEFECTO] La sección contiene opciones globales y [SSHD] contiene parámetros para la cárcel sshd.

[Predeterminado] ignoreip = 192.168.56.24/24 bantime = 21600 findtime = 300 maxretry = 3 banAction = iptables-multiport backend = systemd [sshd] habilitado = true 

Configuración fail2ban

Expliquemos brevemente las opciones en la configuración anterior:

• ignorar: Especifica la lista de direcciones IP o nombres de host no para prohibir.
• bantime: especificó el número de segundos para el que un host está prohibido (i.e Duración efectiva de la prohibición).
• maxretería: especifica el número de fallas antes de que un anfitrión sea prohibido.
• FindTime: fail2ban prohibirá a un anfitrión si ha generado "maxretería" durante el último "FindTime" segundos.
• prohibición: Acción de prohibición.
• backend: Especifica el backend utilizado para obtener la modificación del archivo de registro.

La configuración anterior, por lo tanto, significa si una IP ha fallado 3 veces en el último 5 minutos, prohibirlo para 6 horas e ignorar la dirección IP 192.168.56.2.

A continuación, comience y habilite el fail2ban Servicio por ahora y verifique si está en funcionamiento utilizando el siguiente comando SystemCTL.

# SystemCTL Start Fail2Ban # SystemCTL Habilitar Fail2Ban # SystemCTL Status Fail2Ban 

Iniciar servicio Fail2Ban

Monitoreo fallido y la dirección IP prohibida utilizando Fail2Ban-Client

Después de configurar fail2ban para asegurar SSHD, Puede monitorear las direcciones IP fallidas y prohibidas utilizando el fail2ban-client. Para ver el estado actual del servidor Fail2Ban, ejecute el siguiente comando.

# estatus fail2ban-client 

Verifique el estado de la cárcel de Fail2Ban

Para monitorear el SSHD cárcel, correr.

# Fail2Ban-Client Status SSHD 

Monitor de inicios de sesión fallidos de SSH con Fail2Ban

Para desahogar una dirección IP en Fail2Ban (en todas las cárceles y la base de datos), ejecute el siguiente comando.

# fail2ban-client no 192.168.56.1 

Para obtener más información sobre Fail2ban, lea las siguientes páginas de hombre.

# Cárcel hombre.conf # hombre fail2ban-client 

Eso resume esta guía! Si tiene alguna pregunta o pensamiento que desea compartir sobre este tema, no dude en comunicarse con nosotros a través del formulario de comentarios a continuación.