Fail2ban

Модуль «Fail2ban» сканирует лог-файлы и блокирует IP-адреса, которые ведут себя подозрительно (например, делают слишком много попыток входа с неверным паролем, чтобы найти уязвимость).

Для открытия модуля перейдите в меню Защита > Fail2ban.

В модуле расположены следующие вкладки:

Fail2ban

На данной вкладке отображается состояние службы «Fail2ban»:

  • статус службы (запущеностановленвыключенне настроен);
  • кнопка «Включить» («Выключить») — позволяет запустить или остановить службу;
  • журнал последних событий.

Настройки

Данная вкладка предназначена для настройки работы Fail2ban.

Флаги «Защитить почтовый сервер», «Защитить веб-почту», «Защитить сервер телефонии», «Защитить VPN-сервер», «SSH»«FTP»«GUI» позволяют Fail2ban анализировать логи авторизации в соответствующих модулях.

В поле «Количество неудачных попыток авторизаций» можно задать количество неудачных попыток авторизации в одном из модулей, отмеченных флагом. После этого IP-адресу будет полностью заблокирован доступ к ИКС. По умолчанию установлено 3 попытки.

В поле «Интервал неудачных попыток авторизаций» задается время, в течение которого в каждом модуле подсчитывается количество неудачных попыток авторизации (в минутах). По умолчанию установлен интервал 10 минут.

Поле «Блокировать на» предназначено для установки времени, в течение которого будет действовать блокировка IP-адреса (в минутах). По умолчанию установлено значение 10 минут.

Флаг «Увеличивать время бана» позволяет включить дополнительные настройки Fail2ban для увеличения времени бана: «Количество обычных банов перед увеличением времени бана», «Интервал обычных банов», «Добавить к обычному времени блокировки».

Пример

При срабатывании бана n раз (указанных в поле «Количество обычных банов перед увеличением времени бана») в течение времени t (указанного в «Интервал обычных банов») доступ к ИКС IP-адресу будет заблокирован. На n+1 разе срабатывания бана доступ будет заблокирован на время, равное t + значение из поля «Блокировать на».

Внимание!

  • Значение из поля «Интервал обычных банов» должно быть больше, чем произведение значений в полях «Блокировать на» и «Количество обычных банов перед увеличением времени бана».
  • Если авторизация на FTP идет через браузер, то количество попыток авторизации, указанное в поле «Количество неудачных попыток авторизаций», будет в два раза меньше. Это объясняется тем, что браузер пытается первоначально авторизоваться под учетной записью Anonymous.
  • По другим модулям блокировка может происходить при меньшем количестве попыток, чем задано в веб-интерфейсе. Это вызвано тем, что при некоторых видах попыток авторизации возникает более чем одно событие неудачной авторизации на каждую совершенную попытку.

На данной вкладке также можно сформировать белый список для Fail2ban. Нажмите кнопку «Белый список» и в открывшемся окне задайте соответствие IP-адреса/подсети/диапазона (192.168.1.1, либо 192.168.1.1/28, либо 192.168.1.1-192.168.1.3) и сервиса (всех сервисов), для которых Fail2ban не будет срабатывать. Нажмите «Сохранить».

Внимание! Если Fail2ban заблокирует IP-адрес по одному из сервисов, то доступ с IP-адреса к другим сервисам также будет заблокирован, в том числе к сервисам, добавленным в белый список.

Чтобы изменения настроек вступили в силу, нажмите «Сохранить».

Заблокированные соединения

На данной вкладке отображается список текущих блокировок IP-адресов. Они распределены по блокам (модулям), в которых произошла блокировка.

При необходимости с помощью соответствующих кнопок пользователь с ролью Администратор может:

  • добавить IP-адрес в перманентный бан — действует всегда и по всем сервисам;
  • добавить IP-адрес в белый список — произойдет разблокировка IP-адреса, и он не будет проверяться Fail2ban по сервису, добавленному в белый список;
  • разблокировать IP-адрес до истечения бана.

При добавлении в перманентный бан можно указать: IP (например, 192.168.1.1), сеть (например, 192.168.1.1/30), диапазон IP (например, 192.168.1.1-192.168.1.4).

Журнал

На данной вкладке отображается сводка всех системных сообщений модуля с указанием даты и времени.

Журнал является стандартным элементом веб-интерфейса ИКС.

О статье

Идентификатор статьи:
77
Категория:
Рейтинг :

Меню

Связанные статьи