fail2ban Kurulumu
|
1 |
yum -y install fail2ban |
komutlarıyla paketi indirip kuruyoruz. Bu noktadan sonra gerekli konfigürasyon mevcut kurulum sonrası dosyalarda da yapılabilir, ancak olası saldırılarda saldırganın IP bilgilerini blocklist.de sitesi ile paylaşıp bizim adımıza ilgili servis sağlayıcısına bildirimde bulunmasını sağlayabiliriz. Bunun için;
|
1 2 |
mv -t /old/etc/ /etc/fail2ban mv /old/etc/fail2ban /old/etc/fail2ban_orig |
komutlarıyla standart kurulum sonrasındaki konfigürasyon dosyalarını /old/etc/ dizinine taşıdık ve klasörün de ismini fail2ban_orig (orijinal manasında) şeklinde değiştirdik.
|
1 2 3 4 5 |
cd /root/ mkdir -p fail2ban-blocklist && cd fail2ban-blocklist wget http://www.blocklist.de/downloads/fail2ban.config.debian6.tar.gz tar -xzvf fail2ban.config.debian6.tar.gz cp etc/* /etc -r |
komutlarıyla /root/ dizinine geçip, fail2ban-blocklist isimli bir klasör oluşturup yine bu dizine geçtik, fail2ban.config.tar.gz dosyası blocklist.de sitesinden indirip arşivden çıkarttık ve /etc/ dizinine yeni fail2ban konfigürasyon dosyalarını kopyaladık.
|
1 |
pico /etc/fail2ban/jail.conf |
/etc/fail2ban/jail.conf dosyasını açtık,
[...]
destemail = fail2ban@blocklist.de
bccemail = kullanici@mailadresi.com
sendermail = kullanici@mailadresi.com
[...]
açıklamadaki kırmızı-kalın kısımlardaki gibi değişiklikleri uyguluyoruz, kullanici@mailadresi.com yazan kısmı kendi mail adresimizle değiştiriyoruz.
|
1 2 3 4 |
mkdir -p /old/etc/fail2ban/action.d cp /etc/fail2ban/action.d/sendmail-whois-lines.conf /old/etc/fail2ban/action.d/ cat /dev/null > /etc/fail2ban/action.d/sendmail-whois-lines.conf pico /etc/fail2ban/action.d/sendmail-whois-lines.conf |
komutlarıyla sonradan eklediğimiz fail2ban konfigürasyon dosyaları için yedek dizini oluşturup /etc/fail2ban/action.d/sendmail-whois-lines.conf dosyasını yedekledik, içeriğini sildik ve açtık.
Bu dosyanın içeriğini sendmail-whois-lines.conf bağlantısındaki içerikle değiştirip (kullanici@mailadresi.com yazan yerleri kendi e-posta adresimizle değiştiriyoruz), dosyayı kaydedip kapatıyoruz.
|
1 2 |
service fail2ban restart ln -s /var/lib/fail2ban/banned-ips /root/.fail2ban-ips |
komutuyla /var/lib/fail2ban/banned-ips dosyasını /root/.fail2ban-ips linkine bağladık. Artık;
|
1 |
cat /root/.fail2ban-ips |
komutlarıyla fail2ban sunucusunu yeniden başlatıp, (varsa) yasaklanan saldırgan IP'leri listeleyebileceğiz. Ayrıca mail sunucu kurulumu da tamamlandıktan sonra saldırı bilgilerini hem blocklist.de sunucusuna hem de bizim belirttiğimiz e-posta adresine postalayacaktır.
Saldırıdan kasıt profesyönel hacker aksiyonlarından ziyade, IP adresimizi veya ssh sunucu adresimizi ve portumuzu bilip root veya herhangi bir kullanıcıyla giriş yapmaya çalışan ve 6 yanlış girişten sonra başarılı olamayan denemelerdir. Şifremizi bilip/kırıp kullanıcı girişi yapan kişi zaten sistemi eli geçirmiş demektir!