Дополнительные фильтры Fail2Ban
Нужные фильтры для вашего Fail2Ban. Защитите свой сервер Linux с нашими фильтрами, джейлами и тюрьмами Fail2Ban. Готовые джейлы и тюрьмы Fail2Ban
Важно! Следите за тем, чтобы путь к файлу хранения логов logpath был указан корректно. Обязательно назначьте ему необходимые права доступа командой chmod 755 /var/log/XXX.log
- У вас должны быть определены базовые параметры [DEFAULT] в jail.local Читайте => Fail2ban Основные понятия и базовые настройки
- Так же вам может понадобиться провести дополнительную настройку вашего Apache и Nginx для правильной работы с Cloudflare. Читайте => Fail2ban и Cloudflare Настройка Nginx и Apache
- Если вы используете Nginx в качестве своего сервера то почитайте Настройка Fail2Ban для Nginx
- Если вы используете Apache в качестве своего сервера то почитайте Настройка Fail2Ban для Apache
- Узнайте как подключить Telegram к Fail2Ban в этой статье
Дополнительные фильтры Fail2Ban
* Конфигурация Fail2ban настраивается
--- $ nano /etc/fail2ban/jail.local
* Управление активными фильтрами
--- $ cd /etc/fail2ban/filter.d* Файлы логов Apache
--- $ nano /var/log/apache2/error.lo
--- $ nano /var/log/apache2/access.log
* Файлы логов Nginx
--- $ sudo nano /var/log/nginx/error.log
--- $ sudo nano /var/log/nginx/access.logFail2Ban Защита PHP
Если вы используете PHP, вы можете включить фильтр php-url-fopen который блокирует попытки использования определенного поведения PHP
-----------------------------------------------------------------------------
--- jail.local --------------------------------------------------------------
-----------------------------------------------------------------------------
[php-url-fopen]
enabled = true
port = http,https
filter = php-url-fopen
logpath = /var/log/nginx/access.log или /var/log/apache/access.log
-----------------------------------------------------------------------------
--- php-url-fopen.conf ------------------------------------------------------------
-----------------------------------------------------------------------------
Фильтр php-url-fopen.conf существует по умолчанию в фильтрах
-----------------------------------------------------------------------------
-----------------------------------------------------------------------------Fail2ban Защита MySQL и phpMyAdmin
- Настройка Fail2Ban для мониторинга журналов MySQL и phpMyAdmin
- Здесь описаны все необходимые фильтры для MySQL и phpMyAdmin
[mysqld-auth] Защита MySQL
[phpmyadmin-syslog] Защита phpMyAdmin
Важно! Следите за тем, чтобы путь к файлу хранения логов logpath был указан корректно. Обязательно назначьте ему необходимые права доступа командой chmod 755 /var/log/XXX.log
Защита MySQL с помощью Fail2Ban
--- jail.local --------------------------------------------------------------------
-----------------------------------------------------------------------------------
[mysqld-auth]
enabled = true
port = 3306
filter = mysqld-auth
logpath = /var/log/mysql/error.log
-----------------------------------------------------------------------------------
--- mysqld-auth.conf --------------------------------------------------------------
-----------------------------------------------------------------------------------
Фильтр mysqld-auth.conf существует по умолчанию в фильтрах
-----------------------------------------------------------------------------------
-----------------------------------------------------------------------------------
*** Проверка срабатывания правил
--- $ fail2ban-regex /var/log/mysql/error.log /etc/fail2ban/filter.d/mysqld-auth.conf Защита phpMyAdmin с помощью Fail2Ban
--- jail.local --------------------------------------------------------------------
-----------------------------------------------------------------------------------
[phpmyadmin-syslog]
enabled = true
port = 3306
filter = phpmyadmin-syslog
logpath = /var/log/auth.log
-----------------------------------------------------------------------------------
--- phpmyadmin-syslog.conf --------------------------------------------------------
-----------------------------------------------------------------------------------
Фильтр phpmyadmin-syslog.conf существует по умолчанию в фильтрах
-----------------------------------------------------------------------------------
-----------------------------------------------------------------------------------
*** Проверка срабатывания правил
--- $ fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/phpmyadmin-syslog.confFail2ban Защита Postfix
[postfix] Блокировка пересылки через Ваш почтовый сервер
[postfix-sasl] Блокировка подбора логина и пароля при использовании SASL-аутентификации
Блокировка пересылки через Ваш почтовый сервер
--- jail.local -------------------------------------------------------------------
----------------------------------------------------------------------------------
[postfix]
enabled = true
port = smtp,ssmtp,submission
filter = postfix
logpath = /var/log/maillog
-----------------------------------------------------------------------------------
--- postfix.conf ------------------------------------------------------------------
-----------------------------------------------------------------------------------
Фильтр nginx-limit-req.conf существует по умолчанию в фильтрах
-----------------------------------------------------------------------------------
-----------------------------------------------------------------------------------Блокировка подбора логина и пароля при использовании SASL-аутентификации
--- jail.local -------------------------------------------------------------------
----------------------------------------------------------------------------------
[postfix-sasl]
enabled = true
port = smtp,ssmtp,submission,imap2,imap3,imaps,pop3,pop3s
filter = postfix-sasl
logpath = /var/log/maillog
-----------------------------------------------------------------------------------
--- postfix-sasl.conf ------------------------------------------------------------------
-----------------------------------------------------------------------------------
[INCLUDES]
before = common.conf
[Definition]
_daemon = postfix/smtpd
failregex = ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [ A-Za-z0-9+/]*={0,2})?\s*$
ignoreregex =
-----------------------------------------------------------------------------------
-----------------------------------------------------------------------------------
* Проверка срабатывания правил
--- $ fail2ban-regex /var/log/ХХХ.log /etc/fail2ban/filter.d/ХХХ.confFail2ban Баним запросы Git
----------------------------------------------------------------------------------
--- jail.local -------------------------------------------------------------------
----------------------------------------------------------------------------------
[ban-git]
enabled = true
port = http,https
maxretry = 1
filter = ban-git
logpath = /var/log/apache2/access.log или /var/log/nginx/access.log
----------------------------------------------------------------------------------
-----------------------------------------------------------------------------------
--- ban-git.conf ------------------------------------------------------------------
-----------------------------------------------------------------------------------
[Definition]
failregex = ^<HOST> -.*GET.*(/\.git/config)
^<HOST> -.*GET.*(/\.git/info/)
^<HOST> -.*GET.*(.git/config)
^<HOST> -.*GET.*(.git/info/)
ignoreregex =
-----------------------------------------------------------------------------------
-----------------------------------------------------------------------------------
*** Проверка срабатывания правил
--- $ fail2ban-regex /var/log/XXXXXXXX/access.log /etc/fail2ban/filter.d/ban-git.confFail2ban Защита FTP сервера
- Настройка Fail2Ban для мониторинга журналов FTP сервера
- Здесь описаны все необходимые фильтры для FTP сервера
[proftpd] Защита proFTPd сервера
[vsftpd] Защита vsFTPd сервера
[pure-ftpd] Защита Pure-FTPd сервера
Выставить защиту вашего FTP сервера - перед настройкой вы должны учесть, какой из FTP вы используте (vsFTPd, proFTPd, Pure-FTPd), настройки могут отличаться.
Защита proFTPd
--- jail.local --------------------------------------------------------------------
-----------------------------------------------------------------------------------
[proftpd]
enabled = true
port = ftp,ftp-data,ftps,ftps-data
filter = proftpd
logpath = /var/log/proftpd.log
-----------------------------------------------------------------------------------
--- proftpd.conf ------------------------------------------------------------------
-----------------------------------------------------------------------------------
Фильтр proftpd.conf существует по умолчанию в фильтрах
-----------------------------------------------------------------------------------
-----------------------------------------------------------------------------------Защита vsFTPd
--- jail.local --------------------------------------------------------------------
-----------------------------------------------------------------------------------
[vsftpd]
enabled = true
port = ftp,ftp-data,ftps,ftps-data
filter = vsftpd
logpath = /var/log/vsftpd.log
-----------------------------------------------------------------------------------
--- vsftpd.conf -------------------------------------------------------------------
-----------------------------------------------------------------------------------
Фильтр vsftpd.conf существует по умолчанию в фильтрах
-----------------------------------------------------------------------------------
-----------------------------------------------------------------------------------Защита Pure-FTPd
--- jail.local --------------------------------------------------------------------
-----------------------------------------------------------------------------------
[pure-ftpd]
enabled = true
port = ftp,ftp-data,ftps,ftps-data
filter = pure-ftpd
logpath = /var/log/messages
-----------------------------------------------------------------------------------
--- vsftpd.conf ------------------------------------------------------------------
-----------------------------------------------------------------------------------
Фильтр vsftpd.conf существует по умолчанию в фильтрах
-----------------------------------------------------------------------------------
-----------------------------------------------------------------------------------Fail2Ban защита от сканеров уязвимостей
----------------------------------------------------------------------------------
--- jail.local -------------------------------------------------------------------
----------------------------------------------------------------------------------
[nohacking]
enabled = true
port = http,https
filter = nohacking
logpath = /var/log/apache2/access.log или /var/log/nginx/access.log
-----------------------------------------------------------------------------------
--- nohacking.conf ----------------------------------------------------------------
-----------------------------------------------------------------------------------
[Definition]
badbotscustom = EmailCollector|ApacheBench/2.3|Python-urlib/2.7|curl/7.52.1|curl/7.40.0|nmap|Nessus|libwww-perl/6.13|python-requests/2.9.1|VEGA123|Ruby|Vega/1.0|python-requests/2.12.3|muhstik-scan|zgrab/0.x|Telesphoreo|Grabber|curl|CURL|Googlebot/2.1|sqlmap|W3C_Validator/1.3 http://validator.w3.org/services|masscan/1.0 (https://github.com/robertdavidgraham/masscan)|Go-http-client/1.1|python-requests/2.18.4|Mozilla/5.0 zgrab/0.x|Python-urllib/2.7|masscan|HTTrack|Baiduspider|wpscan|Acunetix|sysscan|Nmap Scripting Engine|Nikto/2.1.6|commix/v2.2-stable|curl/7.55.1|UserAgent|Wget/1.19.1 (linux-gnu)|wget|Wget|WebEMailExtrac|TrackBack/1\.02|sogou music spider
badbots = Atomic_Email_Hunter/4\.0|atSpider/1\.0|autoemailspider|bwh3_user_agent|China Local Browse 2\.6|ContactBot/0\.2|ContentSmartz|DataCha0s/2\.0|DBrowse 1\.4b|DBrowse 1\.4d|Demo Bot DOT 16b|Demo Bot Z 16b|DSurf15a 01|DSurf15a 71|DSurf15a 81|DSurf15a VA|EBrowse 1\.4b|Educate Search VxB|EmailSiphon|EmailSpider|EmailWolf 1\.00|ESurf15a 15|ExtractorPro|Franklin Locator 1\.8|FSurf15a 01|Full Web Bot 0416B|Full Web Bot 0516B|Full Web Bot 2816B|Guestbook Auto Submitter|Industry Program 1\.0\.x|ISC Systems iRc Search 2\.1|IUPUI Research Bot v 1\.9a|LARBIN-EXPERIMENTAL \(efp@gmx\.net\)|LetsCrawl\.com/1\.0 \+http\://letscrawl\.com/|Lincoln State Web Browser|LMQueueBot/0\.2|LWP\:\:Simple/5\.803|Mac Finder 1\.0\.xx|MFC Foundation Class Library 4\.0|Microsoft URL Control - 6\.00\.8xxx|Missauga Locate 1\.0\.0|Missigua Locator 1\.9|Missouri College Browse|Mizzu Labs 2\.2|Mo College 1\.9|MVAClient|Mozilla/2\.0 \(compatible; NEWT ActiveX; Win32\)|Mozilla/3\.0 \(compatible; Indy Library\)|Mozilla/3\.0 \(compatible; scan4mail \(advanced version\) http\://www\.peterspages\.net/?scan4mail\)|Mozilla/4\.0 \(compatible; Advanced Email Extractor v2\.xx\)|Mozilla/4\.0 \(compatible; Iplexx Spider/1\.0 http\://www\.iplexx\.at\)|Mozilla/4\.0 \(compatible; MSIE 5\.0; Windows NT; DigExt; DTS Agent|Mozilla/4\.0 efp@gmx\.net|Mozilla/5\.0 \(Version\: xxxx Type\:xx\)|NameOfAgent \(CMS Spider\)|NASA Search 1\.0|Nsauditor/1\.x|PBrowse 1\.4b|PEval 1\.4b|Poirot|Port Huron Labs|Production Bot 0116B|Production Bot 2016B|Production Bot DOT 3016B|Program Shareware 1\.0\.2|PSurf15a 11|PSurf15a 51|PSurf15a VA|psycheclone|RSurf15a 41|RSurf15a 51|RSurf15a 81|searchbot admin@google\.com|ShablastBot 1\.0|snap\.com beta crawler v0|Snapbot/1\.0|Snapbot/1\.0 \(Snap Shots, \+http\://www\.snap\.com\)|sogou develop spider|Sogou Orion spider/3\.0\(\+http\://www\.sogou\.com/docs/help/webmasters\.htm#07\)|sogou spider|Sogou web spider/3\.0\(\+http\://www\.sogou\.com/docs/help/webmasters\.htm#07\)|sohu agent|SSurf15a 11 |TSurf15a 11|Under the Rainbow 2\.2|User-Agent\: Mozilla/4\.0 \(compatible; MSIE 6\.0; Windows NT 5\.1\)|VadixBot|WebVulnCrawl\.unknown/1\.0 libwww-perl/5\.803|Wells Search II|WEP Search 00
failregex = ^<HOST> -.*"(GET|POST|HEAD).*HTTP.*"(?:%(badbots)s|%(badbotscustom)s)"$
ignoreregex =
-----------------------------------------------------------------------------------
-----------------------------------------------------------------------------------
*** Проверка срабатывания правил
--- $ fail2ban-regex /var/log/XXXXXXXX/access.log /etc/fail2ban/filter.d/nohacking.confДополнительный общий фильтр который можно расширять разными запросами
----------------------------------------------------------------------------------
--- jail.local -------------------------------------------------------------------
----------------------------------------------------------------------------------
[sql-ban]
enabled = true
port = http,https
filter = sql-ban
logpath = /var/log/apache2/access.log или /var/log/nginx/access.log
-----------------------------------------------------------------------------------
--- sql-ban.conf -----------------------------------------------------------------
-----------------------------------------------------------------------------------
[Definition]
failregex = ^<HOST> -.*GET.*(/admin/mysql/index\.php)
^<HOST> -.*GET.*(/admin/phpMyAdmin/index\.php)
^<HOST> -.*GET.*(/mysql-admin/index\.php)
^<HOST> -.*GET.*(/mysqladmin/index\.php)
^<HOST> -.*GET.*(/phpadmin/index\.php)
^<HOST> -.*GET.*(/phpMyAdmin/index\.php)
ignoreregex =
-----------------------------------------------------------------------------------
-----------------------------------------------------------------------------------
*** Проверка срабатывания правил
--- $ fail2ban-regex /var/log/XXXXXXX/access.log /etc/fail2ban/filter.d/sql-ban.confПосле внесения изменений в fail2ban
* Проверить состояние fail2ban
--- $ systemctl status fail2ban
* Перезапустить сервис
--- $ service fail2ban restart
* Получение информации о включенных джейлах
--- $ fail2ban-client status
