Сразу же после покупки сервера привязки .tk домена, сотни! тысячи! китайцев ломанулись его брутить. Сначала я не обращал на это внимание, но потом стало изрядно доставать, ведь logcheck постоянно присылал e-mail об этом.
3. Настраиваем fail2ban:
3. Настраиваем sSMTP или ваш MTA, если он не настроен.
4. Вот и все, осталось проверить работоспособность нашей системы:
Поэтому тут будет HOW TO по настройке logcheck и fail2ban.
1. Ставим logcheck, fail2ban из репозиториев вашего дистрибутива, в моем случае это:
aptitude install logcheck fail2ban
Если вам что-то из этого не нужно, то можете и не ставить. Но для работы logcheck нужен MTA (Mail Transfer Agent), в Debian это postfix по умолчанию, но скорее всего он вам не нужен и можно обойтись ssmtp, который можно настроить для работы через Yandex/Gmail/любой другой SMTP сервер.
2. Настроим logcheck, это крайне просто:
Редактируем вашим любимым текстовым редактором /etc/logcheck/logcheck.conf. Изменить надо строчку начинающуюся с SENDMAILTO следующим образом, где admin@example.com - ваш email:
SENDMAILTO="admin@example.com"
3. Настраиваем fail2ban:
Скопируем конфиг jail.conf из папки /etc/fail2ban туда же, с названием jail.local
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Теперь необходимо его поправить: ищем строку [ssh] и приводим начинающуюся с нее часть файла к следующему виду, ставя enabled = true:
[ssh] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 3
Тащемта теперь после 3 попыток, негодяи будут баниться по IP.
Еще, в этом же конфиге, есть такие опции:
- ignoreip - сюда вписываете адреса на которые бан не действует
- maxretry - количество попыток до бана
- bantime - насколько будем банить
Каждый параметр можно дублировать в секции (в нашем случае секция ssh).
Конфиг хорошо документирован, есть мануалы, все остальное можно узнать там.
Конфиг хорошо документирован, есть мануалы, все остальное можно узнать там.
Скажу еще только про три опции, которые понадобятся для отправки email:
- destemail - ставите туда свой email, для вычисления негодяев по IP, а именно получении писем о попытках брутфорса (надеюсь вы установили пакет whois, во всяком случае если вы не отключали установку рекомендованных зависимостей в Debian, он ставится по умолчанию, как рекомендуемый, так вы сможете получать кучу полезной информации о "взломщиках", сразу в письме)
- mta = mail думаю понятно что это MTA о котором говорилось выше
Для того чтобы отправка писем заработала, в этом же конфиге измените опцию action, следующим образом:
action = %(action_mwl)s
3. Настраиваем sSMTP или ваш MTA, если он не настроен.
4. Вот и все, осталось проверить работоспособность нашей системы:
sudo -u logcheck logcheck -t
И на адрес указанный в SENDMAILTO, в конфиге /etc/logheck/logcheck.conf, придет письмо.
Ну и да, сам настраивал по мануалам, за что благодарю авторов и надеюсь они не против данного поста:
Комментариев нет:
Отправить комментарий