সেন্টোস/আরএইচএল 8 এ এসএসএইচ সুরক্ষিত করতে কিভাবে ফেলয়েল 2 ইনস্টল করবেন to


Fail2ban হ'ল একটি ফ্রি, ওপেন সোর্স এবং বহুল ব্যবহৃত অনুপ্রবেশ প্রতিরোধের সরঞ্জাম যা আইপি অ্যাড্রেসের জন্য লগ ফাইলগুলিকে স্ক্যান করে যা অনেকগুলি পাসওয়ার্ড ব্যর্থতার মতো দূষিত চিহ্নগুলি দেখায় এবং আরও অনেক কিছু, এবং এটি নিষিদ্ধ করে (আইপি ঠিকানাগুলি প্রত্যাখ্যান করার জন্য ফায়ারওয়াল নিয়ম আপডেট করে) । ডিফল্টরূপে, এটি sshd সহ বিভিন্ন পরিষেবার জন্য ফিল্টার সহ প্রেরণ করে।

এই নিবন্ধে, আমরা কীভাবে এসএসএইচ সুরক্ষিত করতে ব্যর্থ 2ban ইনস্টল ও কনফিগার করব এবং সেন্টোস/আরএইচএল 8-তে ব্রুট ফোর্স আক্রমণের বিরুদ্ধে এসএসএইচ সার্ভার সুরক্ষা উন্নত করব।

সেন্টস/আরএইচএল 8 এ ফেইল 2বান ইনস্টল করা

ব্যর্থ 2ban প্যাকেজটি অফিসিয়াল সংগ্রহস্থলগুলিতে নেই তবে এটি EPEL সংগ্রহস্থলে উপলব্ধ। আপনার সিস্টেমে লগইন করার পরে, একটি কমান্ড-লাইন ইন্টারফেস অ্যাক্সেস করুন, তারপরে আপনার সিস্টেমে যেমন দেখানো হয়েছে তেমন EPEL সংগ্রহস্থল সক্ষম করুন।

# dnf install epel-release
OR
# dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm

এরপরে, নিম্নলিখিত কমান্ডটি চালিয়ে Fail2ban প্যাকেজটি ইনস্টল করুন।

# dnf install fail2ban

এসএসএইচ সুরক্ষিত করতে Fail2ban কনফিগার করা হচ্ছে

ব্যর্থ2ban কনফিগারেশন ফাইলগুলি/etc/ফেল2ban/ডিরেক্টরিতে অবস্থিত এবং ফিল্টারগুলি /etc/fail2ban/filter.d/ ডিরেক্টরিতে সঞ্চিত হয় (sshd- র জন্য ফিল্টার ফাইলটি /etc/fail2ban/filter.d/sshd.conf) ।

ব্যর্থ 2ban সার্ভারের জন্য বিশ্বব্যাপী কনফিগারেশন ফাইলটি হ'ল /etc/fail2ban/jail.conf, তবে সরাসরি এই ফাইলটি সংশোধন করার পরামর্শ দেওয়া হয় না, কারণ ভবিষ্যতে প্যাকেজ আপগ্রেড করার ক্ষেত্রে এটি সম্ভবত ওভাররাইট বা উন্নত হবে।

বিকল্প হিসাবে, জেল.লোকাল ফাইল বা /etc/fail2ban/jail.d/ ডিরেক্টরিতে .conf ফাইলগুলি আলাদা করে আপনার কনফিগারেশনগুলি যুক্ত করতে এবং যুক্ত করার পরামর্শ দেওয়া হয়। নোট করুন যে কারাগারে কনফিগারেশন প্যারামিটার সেট করা হয়েছে l লোকাল জেল.কম এ সংজ্ঞায়িত যা কিছু ওভাররাইড করবে।

এই নিবন্ধের জন্য, আমরা যেমন দেখানো আছে// ইত্যাদি/ফেল2ban/ডিরেক্টরিতে জেল.লোকাল নামে একটি পৃথক ফাইল তৈরি করব।

# vi /etc/fail2ban/jail.local

ফাইলটি ওপেন হওয়ার পরে এটিতে নীচের কনফিগারেশনটি অনুলিপি করুন এবং আটকান। [ডিফল্ট] বিভাগে গ্লোবাল বিকল্প রয়েছে এবং [sshd] এসএসডি জেলের জন্য প্যারামিটার রয়েছে।

[DEFAULT] 
ignoreip = 192.168.56.2/24
bantime  = 21600
findtime  = 300
maxretry = 3
banaction = iptables-multiport
backend = systemd

[sshd] 
enabled = true

আসুন সংক্ষেপে উপরের কনফিগারেশনের বিকল্পগুলি ব্যাখ্যা করুন:

  • উপেক্ষা: আইপি ঠিকানা বা হোস্টনেমগুলির নিষিদ্ধকরণের তালিকা নির্দিষ্ট করে।
  • ব্যানটাইম: কোনও হোস্ট নিষিদ্ধ হওয়া সেকেন্ডের সংখ্যা নির্দিষ্ট করেছে (অর্থাত্ নিষেধাজ্ঞার কার্যকর সময়কাল)
  • ম্যাক্স্রিট্রি: হোস্ট নিষিদ্ধ হওয়ার আগে ব্যর্থতার সংখ্যা নির্দিষ্ট করে
  • সন্ধানের সময়: ব্যর্থ 2ban যদি কোনও হোস্টকে শেষ "অনুসন্ধানের সময়" সেকেন্ডের সময় "ম্যাক্সেট্রি" তৈরি করে তবে এটি নিষিদ্ধ করবে
  • নিষেধাজ্ঞা: নিষেধাজ্ঞার ক্রিয়া
  • ব্যাকএন্ড: লগ ফাইল পরিবর্তনের জন্য ব্যবহৃত ব্যাকএন্ড নির্দিষ্ট করে।

উপরের কনফিগারেশনটির অর্থ, যদি কোনও আইপি সর্বশেষ 5 মিনিটে 3 বার ব্যর্থ হয়, 6 ঘন্টা এটি নিষিদ্ধ করে এবং IP ঠিকানা 192.168.56.2 উপেক্ষা করে।

এরপরে, আপাতত ব্যর্থ 2ban পরিষেবাটি চালু করুন এবং সক্ষম করুন এবং নিম্নলিখিত সিস্টেস্টটিএল কমান্ডটি ব্যবহার করে এটি চালু এবং চলছে কিনা তা পরীক্ষা করুন।

# systemctl start fail2ban
# systemctl enable fail2ban
# systemctl status fail2ban

ব্যর্থ ও নিষিদ্ধ আইপি ঠিকানা তদারকি ব্যর্থ হয়েছে 2 ব্যর্থ ক্লায়েন্ট ব্যবহার করে

Sshd সুরক্ষিত করতে ব্যর্থ 2ban কনফিগার করার পরে, আপনি ব্যর্থ 2 এবং ক্লায়েন্ট ব্যবহার করে ব্যর্থ এবং নিষিদ্ধ আইপি ঠিকানাগুলি পর্যবেক্ষণ করতে পারেন। ব্যর্থ2ban সার্ভারের বর্তমান অবস্থা দেখতে, নিম্নলিখিত কমান্ডটি চালান।

# fail2ban-client status

এসএসডি কারাগার নিরীক্ষণ করতে চালান।

# fail2ban-client status sshd

ফেলপ্যাবনে একটি আইপি ঠিকানা নিষিদ্ধ করতে (সমস্ত জেল এবং ডাটাবেসে), নিম্নলিখিত কমান্ডটি চালান।

# fail2ban-client unban 192.168.56.1

ফেল22 সম্পর্কিত আরও তথ্যের জন্য নিম্নলিখিত ম্যান পৃষ্ঠাগুলি পড়ুন।

# man jail.conf
# man fail2ban-client

এই নির্দেশিকাটির পরিমাণ! এই বিষয়ে আপনার যদি কিছু প্রশ্ন বা ভাবনা ভাগ করে নিতে চান তবে নীচের প্রতিক্রিয়া ফর্মের মাধ্যমে আমাদের কাছে পৌঁছাতে দ্বিধা করবেন না।