Linux पर Fail2Ban कैसे सेट करें

संपादित 1 सप्ताह पहले द्वारा ExtremeHow संपादकीय टीम

सुरक्षाफ़ेल2बैनब्रूट फोर्स सुरक्षाकॉन्फ़िगरेशनस्थापनासिस्टम एडमिननिगरानीएसएसएचआईपी प्रतिबंधनस्वचालन

Fail2Ban एक लोकप्रिय ओपन-सोर्स सॉफ्टवेयर है जो आपके लिनक्स सर्वर को ब्रूट-फोर्स हमलों से बचाने में मदद करता है। यह लॉग फाइलों की निगरानी करके और संदिग्ध व्यवहार प्रदर्शित करने वाले IP पतों को अस्थायी रूप से प्रतिबंधित करके ऐसा करता है। Fail2Ban को सही ढंग से सेट करना आपके सर्वर की सुरक्षा को अनधिकृत एक्सेस प्रयासों का स्वतः जवाब देकर बढ़ा सकता है।

Fail2Ban को समझना

Fail2Ban उन स्थितियों की पहचान करके काम करता है जहां कोई उपयोगकर्ता या स्क्रिप्ट आपके सर्वर तक अनधिकृत पहुंच प्राप्त करने का प्रयास कर रही है। यह पूर्वनिर्धारित पैटर्न के लिए विशिष्ट लॉग फ़ाइलों को स्कैन करता है और फिर उन IP पतों पर अस्थायी रूप से प्रतिबंध लगाता है जो इन पैटर्न से मेल खाते हैं। यह कार्रवाई हमलावरों को पासवर्ड बार-बार अनुमान लगाने या आपके सिस्टम के भीतर कमजोरियों में हेरफेर करने से रोकने में मदद करती है।

Fail2Ban स्थापित करने से पहले, इसके बुनियादी घटकों को समझना महत्वपूर्ण है:

• कार्य: कमांड जो कुछ शर्तें पूरी होने पर Fail2Ban निष्पादित करता है, जैसे IP पर प्रतिबंध लगाना।
• जेल: फ़िल्टर और क्रियाओं को संयोजित करने वाले कॉन्फ़िगरेशन, जो निर्दिष्ट करते हैं कि किन लॉग फ़ाइलों को मॉनिटर करना है और दुर्भावनापूर्ण गतिविधि का पता चलने पर क्या कार्रवाई करनी है।
• फ़िल्टर: लॉग फाइलों में अवांछनीय व्यवहार की पहचान करने के लिए उपयोग किए जाने वाले नियमित अभिव्यक्तियाँ।

पूर्वापेक्षाएँ

Fail2Ban स्थापित करने से पहले, सुनिश्चित करें कि आपके पास आपके लिनक्स सर्वर तक प्रशासनिक पहुंच है। यह आपको नया सॉफ्टवेयर इंस्टॉल करने और सिस्टम कॉन्फिगरेशन बदलने की अनुमति देता है। इसके अतिरिक्त, आपको लिनक्स कमांड लाइन ऑपरेशंस की मूल बातें समझनी चाहिए। अपने फायरवॉल को सही ढंग से कॉन्फ़िगर करना भी महत्वपूर्ण है, क्योंकि Fail2Ban IP पतों को ब्लॉक और अनब्लॉक करने के लिए इसके साथ इंटरेक्ट करेगा।

Fail2Ban स्थापित करना

अधिकांश लिनक्स वितरण अपनी पैकेज रिपॉजिटरी में Fail2Ban शामिल करते हैं, जिससे स्थापना सरल हो जाती है। आइए विभिन्न वितरणों के लिए स्थापना चरणों पर एक नज़र डालें:

डेबियन-आधारित सिस्टम के लिए (जैसे, उबंटू)

sudo apt-get update
sudo apt-get install fail2ban

रेड हैट-आधारित सिस्टम के लिए (जैसे, सेंटओएस)

sudo yum install fail2ban

इंस्टॉलेशन के बाद, Fail2Ban सेवा आमतौर पर स्वचालित रूप से शुरू हो जाएगी। आप इसका स्टेटस निम्नानुसार देख सकते हैं:

sudo systemctl status fail2ban

Fail2Ban को कॉन्फ़िगर करना

Fail2Ban को इसकी कॉन्फ़िगरेशन फ़ाइलों के माध्यम से अत्यधिक कॉन्फ़िगर किया जा सकता है। यहां बताया गया है कि आप इसे अपनी सुरक्षा आवश्यकताओं के अनुरूप कैसे अनुकूलित कर सकते हैं:

स्थानीय कॉन्फ़िगरेशन बनाएं

Fail2Ban की मुख्य कॉन्फ़िगरेशन फ़ाइल /etc/fail2ban/jail.conf पर स्थित है, लेकिन यह अनुशंसा की जाती है कि आप भविष्य के अपडेट के लिए अपने सेटिंग्स को ओवरराइट न करने के लिए इसकी एक स्थानीय कॉपी बनाएं। jail.local नामक एक नई फ़ाइल बनाएं:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

jail.local को संशोधित करें

अपनी विशिष्ट प्राथमिकताओं को सेट करने के लिए jail.local को संपादित करें। कॉन्फ़िगर करने के लिए आवश्यक अनुभाग निम्नलिखित हैं:

डिफॉल्ट सेक्शन

यह अनुभाग सामान्य सेटिंग्स को परिभाषित करता है जो सभी जेलों पर लागू होती हैं, जैसे प्रतिबंध समय और क्या ईमेल अलर्ट भेजे जाते हैं। फ़ाइल को एक टेक्स्ट एडिटर में खोलें:

sudo nano /etc/fail2ban/jail.local

[DEFAULT] अनुभाग के अंतर्गत, आप निम्न प्रकार के वेरिएबल पा सकते हैं:

[DEFAULT]
ignoreip = 127.0.0.1/8
bantime = 600
findtime = 600
maxretry = 3
destemail = your-email@example.com
banaction = iptables-multiport
mta = sendmail
protocol = tcp
chain = INPUT

• ignoreip: श्वेतसूची IP. ज्ञात सुरक्षित IP दर्ज करें जिन्हें आप प्रतिबंध से बाहर रखना चाहते हैं।
• bantime: वह अवधि (सेकंडों में) जिसके दौरान किसी IP को प्रतिबंधित किया जाता है। उदाहरण के लिए, 600 सेकंड दस मिनट है।
• findtime: वह अवधि (सेकंडों में) जिसके भीतर होस्ट को प्रतिबंधित करने के लिए कुछ विफलताओं की एक निश्चित संख्या बनानी होगी।
• अधिकतम प्रयास: प्रतिबंध लागू होने से पहले असफल प्रयासों की अधिकतम संख्या।

जेल सक्षम करें

जेल Fail2Ban का दिल हैं, यह परिभाषित करते हैं कि किन सेवाओं की निगरानी की जानी है और कैसे। jail.local फ़ाइल में, आप उन सेवाओं के लिए जेल को सक्षम कर सकते हैं जिनकी आप रक्षा करना चाहते हैं:

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5

• सक्षम: जेल को सक्षम या अक्षम करने के लिए बूलियन मान।
• पोर्ट: मॉनिटर करने के लिए पोर्ट या पोर्ट की सूची।
• फिल्टर: SSH डेमॉन द्वारा लॉग किए गए सुरक्षा घटनाओं की पहचान करने के लिए उपयोग किया जाने वाला फ़िल्टर।
• लॉगपथ: लॉग फ़ाइल का पथ जो संदिग्ध गतिविधि के लिए Fail2Ban की निगरानी करता है।

कस्टम फिल्टर जोड़ना

हालांकि Fail2Ban में कई पूर्व-कॉन्फ़िगर किए गए फ़िल्टर शामिल हैं, यदि आवश्यक हो तो आप कस्टम फ़िल्टर लिख सकते हैं। /etc/fail2ban/filter.d/ निर्देशिका में एक नई फाइल बनाएं। फ़िल्टर में उन संदिग्ध गतिविधियों से मेल खाने वाले नियमित एक्सप्रेशंस की एक श्रृंखला होनी चाहिए जिन्हें आप पहचानना चाहते हैं।

कस्टम फ़िल्टर का उदाहरण

मान लें कि आप किसी वेब एप्लिकेशन में लॉगिन प्रयासों में विफलता का पता लगाने के लिए एक कस्टम फ़िल्टर बनाना चाहते हैं। पहले, एक नया फ़िल्टर फ़ाइल बनाएं:

sudo nano /etc/fail2ban/filter.d/myapp.conf

जैसी अभिव्यक्तियाँ जोड़ें:

[Definition]
failregex = ^.*Failed login for user.*$
ignoreregex =

Fail2Ban का परीक्षण

यह सुनिश्चित करने के लिए कि आपका Fail2Ban सेटअप अपेक्षा के अनुरूप काम करता है, उसका परीक्षण करना महत्वपूर्ण है:

Fail2Ban सेवा प्रारंभ करें

Fail2Ban को कॉन्फ़िगर करने के बाद, परिवर्तनों को लागू करने के लिए सेवा को प्रारंभ या पुनः प्रारंभ करें:

sudo systemctl restart fail2ban

Fail2Ban स्टेटस को प्रमाणित करें

यह सुनिश्चित करने के लिए कि Fail2Ban सेवा बिना किसी त्रुटि के चल रही है, इसकी स्थिति जांचें:

sudo fail2ban-client status

परीक्षण प्रतिबंध

किसी सेवा के लक्षित उपयोग करते हुए लॉगिन प्रयासों को जानबूझकर विफल करके हमले का अनुकरण करें। यह सुनिश्चित करने के लिए Fail2Ban की निगरानी करें कि IP प्रतिबंधित हो गया है:

sudo fail2ban-client status sshd

यह कमांड SSH जेल की स्थिति और वर्तमान में अवरुद्ध IP प्रदर्शित करेगा।

IP पर प्रतिबंध हटाना

कभी-कभी आपको गलती से प्रतिबंधित किसी IP का प्रतिबंध हटाने की आवश्यकता हो सकती है। IP को अनबन करने के लिए, निम्नलिखित कमांड का उपयोग करें:

sudo fail2ban-client set <jail> unbanip <IP-Address>

Fail2Ban और फायरवॉल

Fail2Ban IP पते प्रबंधित करने के लिए मुख्य रूप से iptables का उपयोग करता है। हालाँकि, यदि आप firewalld या UFW (अनकंप्रिकेटेड फायरवॉल) जैसे फायरवॉल प्रबंधन टूल का उपयोग कर रहे हैं, तो सुनिश्चित करें कि वे Fail2Ban के साथ आसानी से एकीकृत हों। आपको इन टूल का उपयोग करने के लिए कॉन्फ़िगरेशन में banaction को कस्टमाइज़ करने की आवश्यकता हो सकती है।

Fail2Ban की निगरानी और रखरखाव

किसी भी असामान्य गतिविधि के लिए नियमित रूप से Fail2Ban लॉग की जाँच करें। लॉग आमतौर पर यहां मिल सकते हैं:

/var/log/fail2ban.log

इन लॉगों की समीक्षा करने से आपको हमले के पैटर्न को समझने और अपनी सुरक्षा नीतियों को अधिक प्रभावी ढंग से अनुकूलित करने में मदद मिलती है।

निष्कर्ष

Fail2Ban अनधिकृत एक्सेस प्रयासों से लिनक्स सर्वरों की सुरक्षा के लिए एक बहुमुखी और आवश्यक टूल है। इसे ठीक से कॉन्फ़िगर करके, आप अपनी सेवाओं पर सफल ब्रूट-फोर्स हमलों की संख्या को काफी कम कर सकते हैं। अपने सर्वर के वातावरण के अनुकूल कॉन्फ़िगरेशन को समायोजित करें और मजबूत सुरक्षा स्थिति बनाए रखने के लिए लॉग को निरंतर मॉनीटर करें।

जैसे-जैसे तकनीक विकसित होती है, वैसे-वैसे हमले के तरीके भी विकसित होते हैं। Fail2Ban और इसके कॉन्फ़िगरेशन को नियमित रूप से अपडेट करने से यह सुनिश्चित होता है कि आप नई खतरों से जुड़े जोखिमों को कम से कम कर देते हैं। याद रखें, जबकि Fail2Ban आपकी सुरक्षा को मजबूत बनाता है, यह अन्य सर्वोत्तम प्रथाओं के साथ एक व्यापक सुरक्षा रणनीति का हिस्सा होना चाहिए, जैसे मजबूत पासवर्ड का उपयोग करना, अपने सिस्टम को अपडेट रखना और खुले पोर्ट को प्रतिबंधित करना।

  इस लेख को साझा करें

यदि आपको लेख की सामग्री में कुछ गलत लगता है, आप कर सकते हैं अपडेट का अनुरोध करें