Ubuntu 20.04에서 Fail2ban 설치 및 구성 방법

Ubuntu 20.04에서 Fail2ban 설치 및 구성 방법

2022-05-31 last update

9 minutes reading fail2ban ubuntu security
인터넷에 노출된 모든 서비스는 악성 소프트웨어 공격을 받을 위험이 있다.예를 들어 공공용 네트워크에서 서비스를 실행하면 공격자는 폭력으로 계정에 로그인을 시도할 수 있습니다.Fail2ban은 서비스 로그의 악의적인 활동을 감시함으로써 리눅스 기기가 폭력과 다른 자동 공격을 받지 않도록 보호하는 도구입니다.그것은 정규 표현식으로 로그 파일을 스캔합니다.패턴과 일치하는 모든 항목의 수가 계산됩니다. 미리 정의된 한도값에 도달하면 Fail2ban은 시스템에서 문제가 있는 IP를 사용하지 않습니다firewall
특정 시간 내에금지 기간이 만료되면 IP 주소가 금지 목록에서 삭제됩니다.본고는 Ubuntu 20.04에 Fail2ban을 설치하고 구성하는 방법을 소개합니다.

Ubuntu에 Fail2ban 설치

Fail2ban 패키지는 기본 Ubuntu 20.04 저장소에 포함되어 있습니다.설치하려면 다음 명령을 root 또는 user with sudo privileges 로 입력하십시오.
:
sudo apt updatesudo apt install fail2ban
설치가 완료되면 Fail2ban 서비스가 자동으로 시작됩니다.서비스의 상태를 검사하여 검증할 수 있습니다.
sudo systemctl status fail2ban
출력은 다음과 같습니다.
● fail2ban.service - Fail2Ban Service
     Loaded: loaded (/lib/systemd/system/fail2ban.service; enabled; vendor preset: enabled)
     Active: active (running) since Wed 2020-08-19 06:16:29 UTC; 27s ago
       Docs: man:fail2ban(1)
   Main PID: 1251 (f2b/server)
      Tasks: 5 (limit: 1079)
     Memory: 13.8M
     CGroup: /system.slice/fail2ban.service
             └─1251 /usr/bin/python3 /usr/bin/fail2ban-server -xf start
그렇습니다.Ubuntu 서버에서 Fail2Ban을 실행했습니다.

Fail2ban 구성

기본 Fail2ban 설치에는 두 개의 구성 파일/etc/fail2ban/jail.conf/etc/fail2ban/jail.d/defaults-debian.conf이 함께 제공됩니다.패키지를 업데이트할 때 덮어쓸 수 있으므로 파일을 수정하는 것은 권장되지 않습니다.Fail2ban은 다음 순서로 구성 파일을 읽습니다.각 .local 파일 덮어쓰기.conf 파일의 설정:
  • /etc/fail2ban/jail.conf /etc/fail2ban/jail.d/*.conf
  • /etc/fail2ban/jail.local
  • /etc/fail2ban/jail.d/*.local
  • 대부분의 사용자에게 고장난 패널을 jail.conf 파일로 복사하고 수정하는 것이 가장 간단한 방법입니다.고급 사용자는 처음부터 jail.local 프로필을 구축할 수 있습니다..local 파일에는 해당 .local 파일의 모든 설정이 포함되어 있지 않으며 덮어쓸 설정만 포함되어야 합니다.기본값.local 파일에서 .conf 프로필을 만듭니다.
    sudo cp /etc/fail2ban/jail.{conf,local}
    Fail2ban 서버 열기, .local 파일 및 text editor
    :
    sudo nano /etc/fail2ban/jail.local
    이 파일에는 각 구성 옵션의 기능을 설명하는 메모가 들어 있습니다.이 예에서 우리는 기본 설정을 변경할 것이다.

    화이트리스트 IP 주소

    금지에서 제외할 IP 주소, IP 범위 또는 호스트를 jail.conf 명령에 추가할 수 있습니다.여기에서 로컬 PC IP 주소와 화이트리스트에 포함할 모든 컴퓨터를 추가해야 합니다.jail.local로 시작하는 줄의 설명을 취소하고 공백으로 구분된 IP 주소를 추가합니다:/etc/fail2ban/jail.로컬
    ignoreip = 127.0.0.1/8 ::1 123.123.123.123 192.168.1.0/24
    

    설정 금지

    ,ignoreipignoreip 옵션의 값은 금지 시간과 금지 조건을 정의합니다.bantime는 IP가 금지된 기간입니다.접미사가 지정되지 않으면 기본값은 초입니다.기본적으로 findtime 값은 10분으로 설정됩니다.일반적으로 대부분의 사용자는 더 긴 금지 시간을 설정하기를 원한다.당신의 취향에 따라 값을 변경합니다:/etc/fail2ban/jail.로컬
    bantime  = 1d
    
    에서는 IP 음수 사용이 영구적으로 금지됩니다.maxretry 은 설정이 금지되기 전의 고장 수 사이의 지속 시간입니다.예를 들어, Fail2ban이 다섯 번의 장애 후 IP 금지로 설정되어 있는 경우(다음 참조), 이러한 장애는 bantime 기간 내에 발생해야 합니다.(adsbygoogle=window.adsbygoogle | |[]).푸시 ({})/etc/fail2ban/jail.local
    findtime  = 10m
    
    bantime은 IP가 금지되기 전의 고장 수입니다.기본값은 5로 설정되어 있으며 대부분의 사용자는/etc/fail2ban/jail.로컬
    maxretry = 5
    

    e-메일 알림

    장애 2 IP가 차단되면 e-메일 경고를 보낼 수 있습니다.전자 메일을 받으려면 서버에 SMTP를 설치하고 기본 동작을 변경해야 합니다. 이 동작은 IP를 findtime 로만 금지합니다. 다음과 같습니다./etc/fail2ban/jail.로컬
    action = %(action_mw)s
    
    maxretry은 IP 침해를 금지하고 whois 보고서를 포함하는 이메일을 보냅니다.전자 메일에 관련 로그를 포함하려면 작업을 findtime 로 설정합니다.전자 우편 주소를 보내고 받을 수 있습니다:/etc/fail2ban/jail.local
    destemail = [email protected]
    
    sender = [email protected]
    

    Fail2ban 감옥

    Fail2ban은 감옥의 개념을 사용했다.교도소 설명 서비스, 필터와 조작 포함.검색 모드와 일치하는 로그 항목을 통계하고 미리 정의된 조건을 충족시킬 때 해당하는 작업을 수행합니다.Fail2ban은 서로 다른 서비스에 여러 개의 감옥을 제공한다.당신은 또한 자신의 감옥 설정을 만들 수 있습니다.기본적으로 ssh
    교도소가 활성화되었습니다.교도소를 사용하려면 교도소 제목 뒤에 maxretry 을 추가해야 합니다.다음 예시는proftpdjail:/etc/fail2ban/jail를 어떻게 사용하는지 보여 줍니다.로컬
    [proftpd]
    enabled  = true
    port     = ftp,ftp-data,ftps,ftps-data
    logpath  = %(proftpd_log)s
    backend  = %(proftpd_backend)s
    
    우리가 지난 절에서 토론한 설정은 감옥에 따라 설정할 수 있다.여기에는/etc/fail2ban/jail의 예가 있습니다.로컬
    [sshd]
    enabled   = true
    maxretry  = 3
    findtime  = 1d
    bantime   = 4w
    ignoreip  = 127.0.0.1/8 23.34.45.56
    
    필터는 %(action_mw)s 디렉터리에 있으며 감옥과 같은 이름의 파일에 저장됩니다.사용자 정의 설정과 정규 표현식을 사용한 경험이 있으면 필터를 미세하게 조정할 수 있습니다.프로필을 편집할 때마다 변경 사항을 적용하기 위해 Fail2ban 서비스를 다시 시작해야 합니다.
    sudo systemctl restart fail2ban

    Fail2ban 클라이언트

    Fail2ban에는 %(action_mw)s라는 명령행 도구가 있습니다. 이 도구를 사용하면 Fail2ban 서비스와 상호작용할 수 있습니다.사용 가능한 모든 옵션을 보려면 %(action_mwl)s 옵션을 사용하여 명령을 호출합니다.
    fail2ban-client -h
    이 도구는 IP 주소의 바인딩 금지/취소, 설정 변경, 서비스 재시작 등에 사용할 수 있습니다.여기에는 몇 가지 예가 있습니다.
  • 교도소 상태 검사:
    sudo fail2ban-client status sshd
  • Unban-an-IP:
  • Ban-an-IP:
    sudo fail2ban-client set sshd unbanip 23.34.45.56
  • 결론

    Ubuntu 20.04에 Fail2ban을 설치하고 설정하는 방법을 보여 드리겠습니다.이 항목에 대한 자세한 내용은 를 참조하십시오Fail2ban documentation
    .