如何在 Ubuntu 20.04 上使用 Fail2Ban 保护 SSH

教程
Firewall Ubuntu

介绍

SSH是连接到云服务器的事实标准方法。它耐用且可扩展——随着新的加密标准的开发,它们可以用于生成新的SSH密钥,确保核心协议保持安全。然而,没有任何协议或软件堆栈是完全防范的,由于SSH在互联网上被广泛部署,这意味着它代表了一个非常可预测的攻击面攻击向量,通过它人们可以尝试获取访问权限。

任何暴露在网络中的服务都是这种方式的潜在目标。如果您审查任何广受欢迎的服务器上运行的SSH服务的日志,您经常会看到重复的、系统化的登录尝试,这代表了用户和机器人尝试进行暴力破解攻击。尽管您可以对SSH服务进行一些优化,以减少这些攻击成功的几率接近零,例如禁用密码验证,而使用SSH密钥,但它们仍然可能构成一个小的、持续的风险。

对于那些完全无法接受此责任的大规模生产部署,通常会在其SSH服务前部署VPN,例如WireGuard,以便在没有额外软件抽象或网关的情况下无法直接连接到外部互联网上的默认SSH端口22。这些VPN解决方案被广泛信任,但会增加复杂性,并可能破坏一些自动化或其他小型软件钩子。

在承诺部署完整VPN设置之前或之后,您可以实施一个名为Fail2ban的工具。Fail2ban可以通过创建规则,根据一定数量的登录尝试失败自动更改防火墙配置以禁止特定IP,从而显着减轻暴力攻击。这将使您的服务器能够自我加固,抵御这些访问尝试,而无需您的干预。

在本指南中,您将了解如何在Ubuntu 20.04服务器上安装和使用Fail2ban。

先决条件

要完成本指南,您需要:

  • 一个Ubuntu 20.04服务器和一个具有sudo权限的非root用户。您可以在我们的使用Ubuntu 20.04进行初始服务器设置指南中了解如何设置具有这些权限的用户。

  • 可选项为,您可以从第一个服务器连接到的第二个服务器,您将使用它来测试被故意封禁。

步骤 1 — 安装 Fail2ban

Fail2ban 可在 Ubuntu 的软件仓库中找到。首先以非 root 用户身份运行以下命令来更新软件包列表并安装 Fail2ban:

  1. sudo apt update

  2. sudo apt install fail2ban

安装完成后,Fail2ban 将自动设置一个后台服务。但是,默认情况下它是禁用的,因为其中一些默认设置可能会导致不希望的影响。您可以使用 systemctl 命令验证此情况:

  1. systemctl status fail2ban.service



Output
○ fail2ban.service - Fail2Ban Service
     Loaded: loaded (/lib/systemd/system/fail2ban.service; disabled; vendor preset: enabled
     Active: inactive (dead)
       Docs: man:fail2ban(1)

您可以立即启用 Fail2ban,但首先您需要审查一些其特性。

步骤 2 — 配置 Fail2ban

fail2ban服务将其配置文件保存在/etc/fail2ban目录中。有一个名为jail.conf的默认文件。进入该目录并使用head -20打印该文件的前20行:

  1. cd /etc/fail2ban

  2. head -20 jail.conf



Output
#
# 警告:在0.9.0版本中大量重构。 请检查并
# 自定义设置以适应您的设置。
#
# 更改:在大多数情况下,您不应修改此
# 文件,而是在jail.local文件中提供定制内容,
# 或在jail.d/目录下提供单独的.conf文件,例如:
#
# 激活JAILS的方法:
#
# 您不应修改此文件。
#
# 它可能会在分发更新中被覆盖或改进。
#
# 在jail.local文件或jail.d/customisation.local中提供定制内容。
# 例如,要更改所有jails的默认封禁时间并启用
# ssh-iptables jail,.local文件中将出现以下(取消注释的)内容。
# 有关详细信息,请参阅man 5 jail.conf。
#
# [DEFAULT]

正如您所看到的,该文件的前几行是被注释掉的 – 它们以#字符开头,表示它们应该被视为文档而不是设置。您还会注意到,这些注释指示您不要直接修改此文件。相反,您有两个选择:要么在jail.d/目录中创建多个文件以为Fail2ban创建单独的配置文件,要么创建并收集所有本地设置到一个jail.local文件中。jail.conf文件将定期更新,因为Fail2ban本身会更新,并且将用作您尚未创建任何覆盖的默认设置的来源。

在本教程中,您将创建jail.local。您可以通过复制jail.conf来完成:

  1. sudo cp jail.conf jail.local

现在您可以开始进行配置更改。在nano或您喜欢的文本编辑器中打开文件:

  1. sudo nano jail.local

当您浏览文件时,本教程将回顾一些您可能想要更新的选项。位于文件顶部附近[DEFAULT]部分下的设置将应用于Fail2ban支持的所有服务。文件的其他位置有[sshd]和其他服务的标题,其中包含将覆盖默认设置的特定于服务的设置。

/etc/fail2ban/jail.local
[DEFAULT]
. . .
bantime = 10m
. . .

bantime参数设置了客户端在身份验证失败时被禁止的时间长度。这是以秒为单位的。默认情况下,设置为10分钟。

/etc/fail2ban/jail.local
[DEFAULT]
. . .
findtime = 10m
maxretry = 5
. . .

下面两个参数是findtimemaxretry。它们一起工作,用于确定客户端被认定为不合法用户应该被禁止的条件。

maxretry变量设置了客户端在由findtime定义的时间窗口内进行身份验证的尝试次数,然后被禁止。使用默认设置,fail2ban服务将在10分钟窗口内连续5次尝试登录失败的客户端。

/etc/fail2ban/jail.local
[DEFAULT]
. . .
destemail = root@localhost
sender = root@<fq-hostname>
mta = sendmail
. . .

如果您需要在Fail2ban采取行动时接收电子邮件警报,您应该评估destemailsendernamemta设置。destemail参数设置应该接收禁止消息的电子邮件地址。sendername设置电子邮件中“发件人”字段的值。mta参数配置发送邮件的邮件服务。默认情况下,这是sendmail,但您可能想使用Postfix或其他邮件解决方案。

/etc/fail2ban/jail.local
[DEFAULT]
. . .
action = $(action_)s
. . .

此参数配置Fail2ban在希望实施禁令时采取的操作。值action_在此参数之前的文件中定义。默认操作是更新您的防火墙配置,拒绝来自违规主机的流量,直到禁令时间到期。

默认提供了其他action_脚本,您可以将$(action_)替换为上述之一:

/etc/fail2ban/jail.local
…
# 禁止并发送一封带有 whois 报告的电子邮件给目标邮箱。
action_mw = %(action_)s
            %(mta)s-whois[sender="%(sender)s", dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"]

# 禁止并发送一封带有 whois 报告和相关日志行的电子邮件
# 至目标邮箱。
action_mwl = %(action_)s
             %(mta)s-whois-lines[sender="%(sender)s", dest="%(destemail)s", logpath="%(logpath)s", chain="%(chain)s"]

# 查看 action.d/xarf-login-attack 中的 IMPORTANT 注意事项,了解何时使用此操作
#
# 禁止并发送一封 xarf 电子邮件给 IP 地址的滥用联系人,并包含相关日志行
# 至目标邮箱。
action_xarf = %(action_)s
             xarf-login-attack[service=%(__name__)s, sender="%(sender)s", logpath="%(logpath)s", port="%(port)s"]

# 在 CloudFlare 上禁止 IP 并发送一封带有 whois 报告和相关日志行的电子邮件
# 至目标邮箱。
action_cf_mwl = cloudflare[cfuser="%(cfemail)s", cftoken="%(cfapikey)s"]
                %(mta)s-whois-lines[sender="%(sender)s", dest="%(destemail)s", logpath="%(logpath)s", chain="%(chain)s"]
…

例如,action_mw 执行操作并发送电子邮件,action_mwl 执行操作,发送电子邮件,并包括日志记录,action_cf_mwl 除了执行以上所有操作外,还会发送更新至与您账户关联的 Cloudflare API,以在那里封禁违规者。

个别监狱设置

接下来是处理个别服务的配置文件部分。这些由类似 [sshd] 的部分标头指定。

每个这些部分都需要通过在标头下添加一行 enabled = true 来单独启用,以及它们的其他设置。

/etc/fail2ban/jail.local
[jail_to_enable]
. . .
enabled = true
. . .

默认情况下,SSH服务已启用,其他所有服务均已禁用。
此处设置的一些其他设置包括filter,该设置将用于决定日志中的一行是否表示身份验证失败,以及logpath,该设置告诉fail2ban特定服务的日志位置。

filter值实际上是对位于/etc/fail2ban/filter.d目录中的文件的引用,其.conf扩展名已被移除。这些文件包含正则表达式(一种常见的文本解析简写),用于确定日志中的一行是否是身份验证失败尝试。我们在本指南中不会深入介绍这些文件,因为它们相当复杂,预定义的设置很好地匹配了适当的行。

但是,您可以通过查看该目录来查看可用的过滤器种类:

  1. ls /etc/fail2ban/filter.d

如果看到与您使用的服务相关的文件,则应使用文本编辑器打开它。大多数文件都有相当完善的注释,您至少应该能够了解脚本旨在防范何种类型的条件。这些过滤器中的大多数在jail.conf文件中有适当的(已禁用)部分,如果需要,我们可以在jail.local文件中启用它们。

例如,假设您正在使用Nginx提供网站服务,并意识到站点中的受密码保护部分正受到大量的登录尝试。您可以告诉fail2ban使用nginx-http-auth.conf文件来检查/var/log/nginx/error.log文件中的这种情况。

这实际上已经在您的/etc/fail2ban/jail.conf文件中的一个名为[nginx-http-auth]的部分中设置好了。您只需要添加enabled参数:

/etc/fail2ban/jail.local
. . .
[nginx-http-auth]

enabled = true
. . .

编辑完成后,保存并关闭文件。在此时,您可以启用Fail2ban服务,以便它从现在开始自动运行。首先,运行systemctl enable

  1. sudo systemctl enable fail2ban

然后,使用systemctl start手动启动它第一次:

  1. sudo systemctl start fail2ban

您可以使用systemctl status验证它是否正在运行:

  1. sudo systemctl status fail2ban



Output
● fail2ban.service - Fail2Ban Service
     Loaded: loaded (/lib/systemd/system/fail2ban.service; enabled; vendor preset: enab>
     Active: active (running) since Tue 2022-06-28 19:29:15 UTC; 3s ago
       Docs: man:fail2ban(1)
   Main PID: 39396 (fail2ban-server)
      Tasks: 5 (limit: 1119)
     Memory: 12.9M
        CPU: 278ms
     CGroup: /system.slice/fail2ban.service
             └─39396 /usr/bin/python3 /usr/bin/fail2ban-server -xf start

Jun 28 19:29:15 fail2ban20 systemd[1]: Started Fail2Ban Service.
Jun 28 19:29:15 fail2ban20 fail2ban-server[39396]: Server ready

在下一步中,您将演示Fail2ban的工作原理。

步骤3 — 测试封禁策略(可选)

从另一台服务器,未来不需要登录到您的Fail2ban服务器的服务器上,您可以通过使该第二台服务器被封禁来测试规则。登录到您的第二台服务器后,尝试通过SSH连接到Fail2ban服务器。您可以尝试使用一个不存在的名称进行连接:

  1. ssh blah@your_server

输入随机字符到密码提示符中。重复几次。在某个时候,你收到的错误消息会从Permission denied变成Connection refused。这表示你的第二个服务器已被Fail2ban服务器禁止访问。

在你的Fail2ban服务器上,你可以通过检查iptables输出来查看新的规则。iptables是用于与服务器上的低级端口和防火墙规则交互的命令。如果你遵循了DigitalOcean的初始服务器设置指南,你将使用ufw来管理更高级别的防火墙规则。运行iptables -S将显示ufw已经创建的所有防火墙规则:

  1. sudo iptables -S



Output
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-N f2b-sshd
-N ufw-after-forward
-N ufw-after-input
-N ufw-after-logging-forward
-N ufw-after-logging-input
-N ufw-after-logging-output
-N ufw-after-output
-N ufw-before-forward
-N ufw-before-input
-N ufw-before-logging-forward
-N ufw-before-logging-input
-N ufw-before-logging-output
…

如果你将iptables -S的输出通过管道传递给grep,以在这些规则中搜索字符串f2b,你可以看到由fail2ban添加的规则:

  1. sudo iptables -S | grep f2b



Output
-N f2b-sshd
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A f2b-sshd -s 134.209.165.184/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -j RETURN

包含REJECT --reject-with icmp-port-unreachable的行将由Fail2ban添加,并应反映你第二个服务器的IP地址。

结论

您现在应该能够配置一些针对您的服务的禁止策略了。Fail2ban 是保护任何使用身份验证的服务的有用方式。如果您想了解更多关于 fail2ban 如何工作的信息,您可以查看我们的教程:fail2ban 规则和文件的工作原理

关于如何使用 fail2ban 保护其他服务的信息,您可以阅读关于 如何在 Ubuntu 14.04 上使用 Fail2Ban 保护 Nginx 服务器如何在 Ubuntu 14.04 上使用 Fail2Ban 保护 Apache 服务器

Source:
https://www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-fail2ban-on-ubuntu-20-04