معرفی
امروزه حملات سایبری به زیر یک دقیقه رسیده است !! این به معنا است که وقتی شما یک سرور, روتر را به شبکه اینترنت وصل میکنید یک دقیقه طول میکشد که انواع اقسام ربات های اسکنر شروع به attack کردن به سمت سرور شما هستند .
حالا که ریسک نداشتن امنیت نسبی احساس کردیم نیاز به یادگیری مکانیزمی داریم که جلو حمله های Dictionary Attack را بگیریم , برای اینکار میتونیم از سرویس FAIL2BAN استفاده کنیم که وظیفه جلوگیری این نوع حملات را دارد
FAIL2BAN چطور کار میکنه ؟؟
fail2ban با استفاده از مکانیزم خیلی ساده ای جلوی این حمله ها را میگیرد , به صورتی که در صورتی که شخصی N بار(به طور مثال ۳ بار) موفق به احرازهویت نشد آی پی اون شخص به مدت N Time (به طور مثال ۱۲ ساعت) بلاک خواهد شد
fail2ban سرویسی است که با پایتون توسعه یافته است و توسط iptables آی پی هکر را بلاک میکند
پیشنیاز ها :
Filter : مشخص کننده ی ارور لاگین است که توسط regex شناسایی میشود و در فایل /etc/fail2ban/filter.d میباشد
action : شامل کامند هایی که باید در iptables اجرا شوند میشود
Jail : شامل ترکیبی از یک فیلتر (ssh) و چندین action است
maxretry : میزان دفعاتی که میتوان یوزر پسورد را اشتباه وارد کردرا مشخص میکند .
bantime : مدت زمان بلاک کردن آی پی هکر را مشخص میکند .(bantime به ثانیه است)
راه اندازی
گام اول : نصب سرویس Fail2ban
Debian: apt-get install fail2ban
CENTOS : yum install fail2ban
گام اول : فعال سازی Fail2ban برای سرویس SSH
1- به فایل etc/fail2ban/jail.d/jail.conf/ میرویم و ssh را پیدا میکنیم و مقدار enabled را مساوی true قرار میدهیم

2- برای تعیین حداکثر دفعات لاگین اشتباه مقدار maxretry را مساوی تعداد دفعات مورد نظر خود قرار بدهید
3- مقدار زمان Bantime را مششخص کنید (bantime به ثانیه است)

4- سرویس Fail2ban رو ری استارت کنید
service fail2ban restart
عیب یابی
برای Tshoot سرویس fail2ban از دو دستور زیر میتوانید استفاده کنید
cat /var/log/fail2ban.log
iptables -L -n


منبع : گیک گپ
امتیاز ما
برای امتیاز به این پست کلیک کنید
[کل: 1 میانگین: 5]
Post Views: 145
برای نوشتن دیدگاه باید وارد بشوید.