Обеспечение debain с fail2ban или iptables
Я надеюсь защищать свой сервер. Первоначально моя первая мысль состояла в том, чтобы использовать iptables, но затем я также узнал о Fail2ban. Я понимаю, что Fail2ban основан на iptables, но он имеет преимущества способности запретить IP после многих попыток.
Скажем, я хочу заблокировать FTP полностью:
- Если я пишу отдельное правило IPtable заблокировать FTP и использовать Fail2ban только для SSH
- Или вместо этого просто помещенный все правила, даже правило блокирования FTP в конфигурации Fail2Ban
Любая справка на этом ценилась бы.
James
Чтобы ответить на ваши конкретные вопросы.
- Если вы не используете FTP, то вам не следует устанавливать никаких ftp-демонов.
- SFTP является частью sshd, вы можете настроить sshd на его отключение.
- Комментарий к директивам, например
# Subsystem sftp /usr/lib/openssh/sftp-serverв /etc/ssh/sshd_config
- Комментарий к директивам, например
- Use iptables policy to help you - make the POLICY DROP.
- Fail2ban полезен только для блокировки постоянных "нарушителей".
Для ответа на более общий вопрос Scott Pack написал отличный ответ на Советы по защите LAMP-сервера, который, даже если ваш сервер не является специфическим LAMP (или подобным), будет содержать информацию, которую вы сочтете полезной. Скотт также опубликовал этот замечательный пост в блоге на iptables только сегодня. Вам предстоит много прочитать
.Если вы хотите полностью заблокировать FTP, самый простой и безопасный способ сделать это - просто отключить FTP-демон. Однако, если вы хотите обезопасить FTP от интернета, используйте fail2ban, который расширяет IP-функциональность и позволяет блокировать определенные - подозрительные IP-адреса. Если вы собираетесь использовать FTP локально и блокировать из Интернета, то вы должны использовать IPtables.
.Fail2Ban предназначен для запрета IP-адресов после (сконфигурированного) количества неверных попыток доступа к службе open. Поэтому, если вы хотите заблокировать FTP для внешних сетей, вы должны использовать iptables. Но если вы хотите полностью заблокировать FTP, вы всегда можете остановить саму службу.
.Чтобы полностью заблокировать iptables, а не fail2ban. Fail2ban - это блокировка сайтов, которые запускают только обнаружение вредоносного кода.
- Поставьте fail2ban на ваши службы, которые должны быть открыты для Интернета (например, SSH в вашем вопросе)
- Поставьте iptable блоки на любую службу, которую вы хотите активировать только внутри, и заблокируйте в противном случае (например, FTP в вашем вопросе)
- Также поставьте iptable правила на службы, которые вы используете только с определенных IP-адресов
Вы можете просто изменить порт по умолчанию для таких вещей, как SSH, который будет блокировать 99.999% всех сканирований и попыток взлома. Если ваш SSH находится на порту, отличном от порта по умолчанию, то когда вы обнаруживаете вредоносную активность, вы можете предположить, что это действительно серьезно
.