संभावित ufw और fail2ban संघर्ष


45

क्या फेल 2ब्बन और ufw दोनों चलाने से समस्याएँ पैदा होंगी? मैंने देखा कि fail2ban iptables नियमों को संशोधित करता है, लेकिन ufw में पहले से ही iptables नियमों का एक टन परिभाषित है ... इसलिए मुझे यकीन नहीं है कि अगर fail2ban इन्हें गड़बड़ कर देगा।


कौन सा Ubuntu संस्करण? ('ufw' 10.04 LTS और 11.x के बीच थोड़ा सुधार हुआ है )
david6

@ david6: क्षमा करें, मुझे याद नहीं है कि जब मैंने मूल रूप से प्रश्न पूछा था तो मैं कौन सा संस्करण चला रहा था।
एडम मोंसेन

जवाबों:


49

आप एक साथ ufw और fail2b का उपयोग कर सकते हैं, लेकिन जैसा कि पहले संकेत दिया गया है, (ufw) नियमों का क्रम महत्वपूर्ण है।

बॉक्स से बाहर, असफल 2 आईएनबीटैप श्रृंखला में पहले iptables और आवेषण नियमों का उपयोग करता है। यह ufw के साथ कोई नुकसान या संघर्ष नहीं करेगा।

यदि आप ufw (बल्कि तब iptables) का उपयोग करने के लिए पूरी तरह से fail2ban को एकीकृत करना चाहते हैं। आपको सहित कई फ़ाइलों को संपादित करने की आवश्यकता होगी

/etc/fail2ban/jail.local

जेल.लोक है जहाँ आप अपनी सेवाओं को परिभाषित करते हैं, जिसमें वे किस बंदरगाह पर सुन रहे हैं (लगता है कि ssh को गैर-डिफ़ॉल्ट पोर्ट में बदल दें) और क्या कार्रवाई की जाए।

** कृपया ध्यान दें: कभी भी जेल को संपादित न करें। फिर भी , आपके बदलाव किए जाने चाहिए jail.local! यह फ़ाइल इस के साथ शुरू होती है:

# Changes:  in most of the cases you should not modify this
#           file, but provide customizations in jail.local file,
#           or separate .conf files under jail.d/ directory

उदाहरण के रूप में ssh का उपयोग करते हुए, एक गैर-डिफ़ॉल्ट पोर्ट की परिभाषा पर भी ध्यान दें =)

[ssh]
enabled = true
banaction = ufw-ssh
port = 2992
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

इसके बाद आप ufw का उपयोग करने के लिए fail2ban को कॉन्फ़िगर करें (प्रत्येक सेवा के लिए एक .conf फ़ाइल)

/etc/fail2ban/action.d/ufw-ssh.conf

वाक्य-विन्यास है

[Definition]
actionstart =
actionstop =
actioncheck =
actionban = ufw insert 1 deny from <ip> to any app OpenSSH
actionunban = ufw delete deny from <ip> to any app OpenSSH

ध्यान दें: आप कॉन्फ़िगर fail2ban UFW उपयोग करने के लिए और नए नियमों को सम्मिलित करने के पहले "डालने 1" सिंटैक्स का उपयोग। हटाने के आदेश की परवाह किए बिना नियम मिलेगा।

एक अच्छा ब्लॉग पोस्ट है जो यहां और अधिक विस्तार में जाता है

http://blog.vigilcode.com/2011/05/ufw-with-fail2ban-quick-secure-setup-part-ii/

[EDIT] ubuntu 16.04+ के लिए

डिफ़ॉल्ट रूप से सामग्री के साथ " defaults-debian.conf"/etc/fail2ban/jail.d

[sshd]
enabled = true

fail2ban की ssh सुरक्षा को सक्रिय करेगा।

आपको इसे असत्य पर लगाने की आवश्यकता है।

फिर एक जेल बनाएँ। जैसा कि आप सामान्य रूप से करेंगे, मेरा इस तरह होगा:

[ssh-with-ufw] 
enabled = true 
port = 22 
filter = sshd 
action = ufw[application="OpenSSH", blocktype=reject] 
logpath = /var/log/auth.log 
maxretry = 3

पहले से ही विफल 2ban डिफ़ॉल्ट स्थापना में एक ufw.conf है, इसलिए किसी को बनाने की आवश्यकता नहीं है।

आपके लिए जेल का एकमात्र विशिष्ट परिवर्तन। एक्शन लाइन में होगा, जहां आपको सुरक्षा के लिए संबंधित एप्लिकेशन को डालना होगा और आप परिणाम के रूप में प्राप्त करना चाहते हैं।

ufw नेटवर्क का उपयोग करके चलने वाले ऐप की एक निश्चित मात्रा का स्वचालित रूप से पता लगाने के लिए करते हैं। सूची को टाइप करने के लिए sudo ufw app list। यह केस-संवेदी है।

fail2ban को पुनः लोड करें और अब आप fail2ban श्रृंखला को नहीं देख पाएंगे और यदि कोई IP ब्लॉक मिलता है तो आप इसे देख पाएंगे sudo ufw status


7
इसलिए संक्षेप में: एकीकरण को स्पष्ट किए बिना, दोनों ufw और fail2ban की तरह काम करना चाहिए। Fuf2ban ufw के नियमों को लागू करने से पहले अपनी अवरुद्ध परिभाषाएं सम्मिलित करेगा। दूसरी तरफ अगर कोई ब्लॉक दिखाना चाहेगा ufw status, तो आपको एकीकरण की आवश्यकता है। ब्लॉक दिखाने के अलावा ufw status, कोई अन्य लाभ नहीं होगा? विशेष रूप से, क्योंकि ब्लॉग के लेखक निम्नलिखित कहते हैं: बॉक्स Fail2ban iptables नियम के साथ काम करता से बाहर हुई, हालांकि यह अच्छा हमारे सरल UFW आदेशों के साथ खेलने नहीं है (...)
bouke

1
ठीक ठीक। जब आप उन्हें ufw स्थिति के साथ जाँचते हैं तो "अच्छा मत खेलो" को दिखाने के लिए बराबरी करता है। एकीकरण के लाभ यह है कि आप अपने फ़ायरवॉल नियमों को प्रबंधित और प्रदर्शित करने के लिए एक उपकरण, ufw का उपयोग कर रहे हैं। फ़ंक्शन के संदर्भ में, बॉक्स से बाहर, के रूप में fail2ban का उपयोग करने में कुछ भी गलत नहीं है। समस्या यह होगी कि असफल 2 चैनल नियमों को देखने के लिए आपको iptables -L -v -n का उपयोग करने की आवश्यकता होगी, और जैसा कि आप पहले से ही देख सकते हैं, जब ufw का उपयोग करना आउटपुट लंबा और पालन करना मुश्किल है। एकीकरण का लाभ यह है कि नियमों और वाक्यविन्यास को समझना आसान है (यह मानते हुए कि आप पहली जगह में ufw का उपयोग क्यों करते हैं)
पैंथर

रिकॉर्ड के लिए, यदि आप अपने द्वारा लिंक की गई साइट पर कहीं भी क्लिक करते हैं, तो आपको मैलवेयर / एडवेयर पर रीडायरेक्ट किया जाएगा।
एंटोनियो कंगियानो

@AntonioCangiano - लिंक यहाँ ठीक काम करता है,
पैंथर

@ bodhi.zazen लिंक किए गए लेख पर कोई भी क्लिक एक दुष्ट वेबसाइट पर रीडायरेक्ट करेगा क्योंकि एंटोनियो ने सही ढंग से बताया। मैं इस तरह के लेख से सुरक्षा सलाह लेने के लिए अनिच्छुक हूं।
गोरान मिस्कोविक

4

मैं अलग-अलग कंप्यूटरों के जोड़े पर सालों से फेल 2ब्बन और ufw का उपयोग कर रहा हूं, और कभी कोई समस्या नहीं हुई। विफलता 2 सेट करने के लिए:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano jail.local

अब फ़ाइल को अपनी इच्छानुसार संपादित करें, उदाहरण के लिए यदि आप अनधिकृत ssh को ब्लॉक करना चाहते हैं तो लाइनें खोजें:

[ssh]
enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 6

यदि "सक्षम" को "गलत" पर सेट किया गया है, तो इसे "सच" में बदल दें जैसा कि यहां उल्लेख किया गया है। आपके द्वारा नियम सेट करने के बाद आपको विफलता 2ban प्रक्रिया को फिर से शुरू करना होगा:

sudo /etc/init.d/fail2ban restart

यदि आपने अपने ufw फ़ायरवॉल पर पोर्ट 22 को खोल दिया है, तो असफल 2 क्लाइंट उन ग्राहकों पर प्रतिबंध लगा देगा जो बिना सफलता के 6 बार से अधिक कनेक्ट करने का प्रयास करते हैं, यह आपके फ़ायरवॉल को नहीं तोड़ देगा।


4

असफल 2.0 की अधिष्ठापन .2.5 में एक ufwएक्शन शामिल है जिसे मुझे बस इसके लिए सेट करना थाbanaction


2
रिकॉर्ड के लिए, कार्रवाई 0.8.13 संस्करण में भी मौजूद है
Joril
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.