Mögliche UFW- und Fail2BAN-Konflikte

45

Wird das Ausführen von fail2ban und ufw Probleme verursachen? Ich habe festgestellt, dass fail2ban die iptables-Regeln ändert, aber ufw hat bereits eine Menge von iptables-Regeln definiert. Ich bin mir nicht sicher, ob fail2ban diese durcheinander bringen wird.

Adam Monsen
quelle
Welche Ubuntu- Version? ('ufw' hat sich zwischen 10.04 LTS und 11.x leicht verbessert )
david6
@ david6: Entschuldigung, ich kann mich nicht erinnern, welche Version ich ausgeführt habe, als ich die Frage ursprünglich gestellt habe.
Adam Monsen

Antworten:

49

Sie können ufw und fail2b zusammen verwenden, aber wie bereits erwähnt, ist die Reihenfolge der (ufw-) Regeln wichtig.

Standardmäßig verwendet fail2ban iptables und fügt Regeln zuerst in die INPUT-Kette ein. Dies wird ufw weder schaden noch in Konflikt bringen.

Wenn Sie fail2ban vollständig integrieren möchten, um ufw (statt iptables) zu verwenden. Sie müssen eine Reihe von Dateien bearbeiten, einschließlich

/etc/fail2ban/jail.local

jail.local ist der Ort, an dem Sie Ihre Dienste definieren, einschließlich des Ports, an dem sie empfangsbereit sind (denken Sie daran, ssh in einen nicht standardmäßigen Port zu ändern) und welche Aktion Sie ausführen müssen.

** Bitte beachten Sie *: Bearbeiten Sie niemals die jail.conf , Ihre Änderungen sollten in vorgenommen werden jail.local! Diese Datei beginnt damit:

# Changes:  in most of the cases you should not modify this
#           file, but provide customizations in jail.local file,
#           or separate .conf files under jail.d/ directory

Beachten Sie am Beispiel von ssh auch die Definition eines nicht standardmäßigen Ports =)

[ssh]
enabled = true
banaction = ufw-ssh
port = 2992
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

Anschließend konfigurieren Sie fail2ban für die Verwendung von ufw in (eine .conf-Datei für jeden Dienst).

/etc/fail2ban/action.d/ufw-ssh.conf

Die Syntax lautet

[Definition]
actionstart =
actionstop =
actioncheck =
actionban = ufw insert 1 deny from <ip> to any app OpenSSH
actionunban = ufw delete deny from <ip> to any app OpenSSH

Hinweis: Sie konfigurieren fail2ban ufw zu verwenden und neue Regeln einzufügen FIRST mit der „Insert 1“ Syntax. Das Löschen findet die Regel unabhängig von der Reihenfolge.

Es gibt einen schönen Blog-Beitrag, der hier ausführlicher beschrieben wird

http://blog.vigilcode.com/2011/05/ufw-with-fail2ban-quick-secure-setup-part-ii/

[EDIT] Für Ubuntu 16.04+

Standardmäßig ein " defaults-debian.conf" für den /etc/fail2ban/jail.dInhalt

[sshd]
enabled = true

aktiviert den ssh schutz von fail2ban.

Sie müssen es auf falsch setzen.

Dann erstelle eine jail.local, wie du es im Allgemeinen tun würdest, meine würde so aussehen:

[ssh-with-ufw] 
enabled = true 
port = 22 
filter = sshd 
action = ufw[application="OpenSSH", blocktype=reject] 
logpath = /var/log/auth.log 
maxretry = 3

Es gibt bereits eine ufw.conf in der Standardinstallation von fail2ban, so dass Sie keine erstellen müssen.

Die einzige spezifische Änderung für Sie in jail.local ist in action line, wo Sie die betreffende Anwendung für den Schutz platzieren müssen und was Sie als Ergebnis erhalten möchten.

ufw erkennt in der Regel automatisch eine bestimmte Anzahl von Apps, die über das Netzwerk ausgeführt werden. Um die Liste zu haben, tippe einfach sudo ufw app list. Es wird zwischen Groß- und Kleinschreibung unterschieden.

Wenn Sie fail2ban neu laden, wird die fail2ban-Kette nicht mehr angezeigt, und wenn eine IP-Adresse blockiert wird, wird sie angezeigt sudo ufw status

Panther
quelle
7
Kurz gesagt: Ohne die Integration wie beschrieben durchzuführen, funktionieren sowohl ufw als auch fail2ban wie sie sollten. Fail2ban fügt seine Sperrdefinitionen ein, bevor die Regeln von ufw angewendet werden. Andererseits, wenn man möchte, dass die Blöcke angezeigt werden ufw status, braucht man die Integration. Abgesehen davon, dass die Blöcke in auftauchen ufw status, gäbe es keinen weiteren Vorteil? Vor allem, weil der Autor des Blogs Folgendes sagt: Fail2ban arbeitet standardmäßig mit iptables-Regeln, diese funktionieren jedoch nicht gut mit unseren einfacheren UFW-Befehlen (...)
bouke
1
Genau. "Nicht schön spielen" bedeutet, dass es nicht angezeigt wird, wenn Sie es mit dem UFW-Status überprüfen. Die Vorteile der Integration bestehen darin, dass Sie nur ein Tool verwenden, um Ihre Firewall-Regeln zu verwalten und anzuzeigen. Nichts ist falsch daran, fail2ban so zu verwenden, wie es von Haus aus funktioniert. Das Problem wäre, dass Sie zum Anzeigen von fail2ban-Regeln iptables -L -v -n verwenden müssten, und wie Sie bereits sehen können, ist die Ausgabe bei der Verwendung von ufw lang und schwer zu befolgen. Der Vorteil der Integration besteht darin, dass die Regeln und die Syntax dann einfacher zu verstehen sind (vorausgesetzt, Sie verwenden deshalb ufw an erster Stelle)
Panther
Wenn Sie auf eine beliebige Stelle der von Ihnen verlinkten Website klicken, werden Sie zu Malware / Adware weitergeleitet.
Antonio Cangiano
@ AntonioCangiano - Link funktioniert gut hier, überprüfen Sie Ihren Browser und DNS
Panther
@ bodhi.zazen Wenn Sie auf den verlinkten Artikel klicken, wird dieser auf eine betrügerische Website weitergeleitet, wie Antonio richtig hervorgehoben hat. Ich zögere es, Sicherheitsratschläge aus einem solchen Artikel anzunehmen.
Goran Miskovic
4

Ich benutze fail2ban und ufw seit Jahren auf mehreren Computern und hatte nie Probleme. So richten Sie fail2ban ein:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano jail.local

Bearbeiten Sie nun die Datei nach Ihren Wünschen, zum Beispiel, wenn Sie nicht autorisiertes ssh blockieren möchten, und suchen Sie die Zeilen:

[ssh]
enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 6

Wenn "enabled" auf "false" gesetzt ist, ändern Sie es wie hier angegeben in "true". Nachdem Sie die Regeln festgelegt haben, müssen Sie den fail2ban-Prozess neu starten:

sudo /etc/init.d/fail2ban restart

Wenn Sie den Port 22 Ihrer ufw-Firewall geöffnet haben, werden die Clients, die mehr als 6-mal versuchen, eine Verbindung herzustellen, von fail2ban gesperrt, und Ihre Firewall wird nicht beschädigt.

enedene
quelle
4

Das Installieren von 0.9.5 von fail2ban beinhaltete eine ufwAktion, die ich einfach für das einstellen musstebanaction

Carson Reinke
quelle
2
Für den Rekord ist die Aktion auch in Version 0.8.13 vorhanden
Joril