SSH 보안 - Fail2ban 설치 및 설정 - 리눅스 SSH 보안

Last Updated on 2월 11, 2021 by 태랑(정현호)



Fail2ban



Fail2ban 은 침입 차단 소프트웨어 프레임워크로서 컴퓨터 서버를 무차별 대입 공격으로부터 보호합니다.

파이썬 프로그래밍 언어로 쓰여졌으며, 패킷 제어 시스템이나 로컬에 설치된 방화벽(iptables 또는 TCP 래퍼,firewalld)과의 인터페이스를 갖는 POSIX 시스템에서 실행됩니다.




Fail2ban은 로그 파일들(예를 들면 /var/log/auth.log, /var/log/apache/access.log 등)의 선택된 엔트리들과 이것에 기반한 스크립트들을 모니터링함으로써 동작합니다.


선택된 로그를 통해 IP 주소들(시스템의 보안을 위반하려는 시도를 하는)을 막는데 사용 되게 됩니다.

너무 많은 로그인 시도를 하거나 의도되지 않은 행동을 수행하는 어떤 호스트 나 IP 주소를 막을 수 있습니다.


이와 같이 무차별 대입(Brute-Force) 공격 를 막기 위해서 사용되며 정해진 정책에 따라 OS 방화벽을 이용하여 차단하게 됩니다.


SSH 이외에 Apache, Lighttpd, sshd, vsftpd, qmail, Postfix 그리고 Courier 메일 서버를 위한 필터들과 함께 제공 됩니다.


설치 환경

OS : Centos 7.8 / Ubuntu 18.04



Fail2ban 설치 및 설정



설치 및 시작

Ubuntu 에서 설치

Ubuntu$ sudo apt install fail2ban python-pip sqlite3


CentOS 에서 설치
opc$ sudo yum -y install epel-release yum-utils
opc$ sudo yum install python-pip fail2ban sqlite
opc$ sudo pip install --upgrade pip


Ubuntu/Centos 공통
$ sudo pip install pyinotify


Ubuntu/Centos 공통 - 설치 후 시작 되어 있음
Ubuntu$ sudo systemctl stop fail2ban




정책 설정

ubuntu$ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

ubuntu$ sudo vi /etc/fail2ban/jail.local




아래 내용을 입력해 적절히 수정/추가 하여 사용 합니다


[DEFAULT]


# 차단하지 않을 IP
ignoreip = 127.0.0.1/8 ::1



# 인증 실패시 차단할 차단시간입니다 600 = 10분
# -1이면 영구차단입니다. (단위 : 초)
# bantime = 10800 = 3시간
bantime = -1



# 아래 시간동안 maxretry 횟수만큼 실패시 차단
#findtime = 10m <-- default
#findtime = 86400 - 24시간
findtime = 24h



# 차단되기전까지 인증시도를 위한 허용횟수
maxretry = 10





backend = auto

# backend 설명
로그 파일 변경을 감지할 방법으로 pyinotify, gamin, polling,systemd, auto 방식이 있습니다

pyinotify: pyinotify (파일 변경 모니터)를 되어있어야 합니다.
pyinotify 가 설치되지 않은 경우 Fail2ban은 auto를 사용합니다.

참고로 포스팅에서는 처음에 pyinotify 를 설치 하였습니다.


- gamin: Gamin (파일 변경 모니터)을 설치 해야 합니다.
Gamin이 설치되어 있지 않으면 Fail2ban은 auto를 사용합니다.


- polling: 외부 라이브러리가 필요하지 않은 polling 알고리즘을 사용합니다.


- systemd: systemd python 라이브러리를 사용하여 systemd 저널에 액세스합니다.
이 백엔드에는 "logpath" 지정이 유효하지 않을 경우 사용 됩니다("logpath" is not valid)


auto: 다음 순서대로 동작 합니다
pyinotify, gamin, polling




# 메일 알림기능
destemail = root@localhost
# => 수신 메일 주소

sender = root@<fq-hostname>
# =>발신 메일 주소





# banaction

ip 차단 방법입니다. /etc/fail2ban/action.d 디렉토리에 있는 action 을 사용할 수 있습니다.

firewalld 을 사용한다면 "firewallcmd-new" 값 입력.

iptables 을 사용한다면 "iptables-multiport" 값 입력.


$ ls -al /etc/fail2ban/action.d | grep iptables
-rw-r--r-- 1 root root 1426 Jan 18 2018 iptables-allports.conf
-rw-r--r-- 1 root root 2738 Jan 18 2018 iptables-common.conf
-rw-r--r-- 1 root root 2000 Jan 18 2018 iptables-ipset-proto4.conf
-rw-r--r-- 1 root root 2197 Jan 18 2018 iptables-ipset-proto6-allports.conf
-rw-r--r-- 1 root root 2240 Jan 18 2018 iptables-ipset-proto6.conf
-rw-r--r-- 1 root root 2082 Jan 18 2018 iptables-multiport-log.conf
-rw-r--r-- 1 root root 1420 Jan 18 2018 iptables-multiport.conf
-rw-r--r-- 1 root root 1497 Jan 18 2018 iptables-new.conf
-rw-r--r-- 1 root root 2584 Jan 18 2018 iptables-xt_recent-echo.conf
-rw-r--r-- 1 root root 1339 Jan 18 2018 iptables.conf

Ubuntu
banaction = iptables-multiport
banaction_allports = iptables-allports


Centos/RHEL 7 버전 이상에서는 firewallcmd-new 를 선택하면 됩니다.
banaction = firewallcmd-new
banaction_allports = firewallcmd-allports




[sshd]
#여러 포트를 사용할 경우 다음과 같이 지정 : port = ssh,10022
port = ssh
enabled = true
# enabled = true 를 입력 해줍니다.


# enabled = true
# ssh 외 여러 서비스에 대해서 감지 할 수 있습니다.
# 사용 하려는 항목(속성) 에서 enabled 속성을 true 로 변경 혹은 추가 해야 합니다.




Fail2ban 서비스 시작

위에서 추가/수정이 완료 되었다면 Fail2ban 을 재시작 합니다.


ubuntu$ sudo systemctl enable fail2ban

ubuntu$ sudo systemctl restart fail2ban


ubuntu$ sudo systemctl status fail2ban





Fail2ban 로그 및 상태 확인



# fail2ban 로그 확인

파일 : /var/log/fail2ban.log

ubuntu$ tail -100f /var/log/fail2ban.log



# SSH 차단 현황 확인

ubuntu$ sudo fail2ban-client status sshd




sqlite3 DB 확인
Fail2ban 은 차단된 IP 목록을 sqlite3 DB 파일로 저장됩니다.




# 파일 위치 확인

ubuntu$ sudo fail2ban-client get dbfile
Current database file is:
`- /var/lib/fail2ban/fail2ban.sqlite3




# sqlite 로 DB 파일의 내용 직접 확인

$ sudo sqlite3 /var/lib/fail2ban/fail2ban.sqlite3 .table




# sqlite3 의 스키마 정보 확인

$ sudo sqlite3 /var/lib/fail2ban/fail2ban.sqlite3 .schema




Bans 테이블에서 차단된 IP 직접 조회

$ sudo sqlite3 /var/lib/fail2ban/fail2ban.sqlite3 "select distinct ip from bans;"

xxx.xxx.xxx.101
xxx.xxx.xxx.103
xxx.xxx.xxx.105




차단된 IP 복구(해제)하기

다음 명령어로 IP 차단을 해제합니다.

ubuntu$ sudo fail2ban-client set sshd unbanip IP주소



[참조] 수동으로 IP 차단 추가 하기
firewalld/iptables 에 차단할 IP 정책(룰)을 추가 하는 것처럼 fail2ban 에서 아이피 별로 별도로 추가를 할 수 있습니다.

# ip ban/unban 기능 명령어
sudo fail2ban-client set <JAIL> banip <IP>
sudo fail2ban-client set <JAIL> unbanip <IP>


# Jail 목록 조회
sudo fail2ban-client status
Status
|- Number of jail:      1
`- Jail list:   sshd


# Jail - sshd 로 차단 된 내역 확인
sudo fail2ban-client status sshd 
Status for the jail: sshd
|- Filter
|  |- Currently failed: 131
|  |- Total failed:     13290
|  `- File list:        /var/log/auth.log
`- Actions
   |- Currently banned: 493
   |- Total banned:     494
   `- Banned IP list:   123.123.123.123 


# 차단/차단 해제 명령어 실제 예시
fail2ban-client set sshd banip 12.12.12.12
fail2ban-client set sshd unbanip 12.12.12.12



연관된 글



답글 남기기