Som ny bruger af Ubuntu, er UFW (Uncomplicated Firewall) et godt valg når der skal sættes firewall op på grund af dets brugervenlighed.
For mindre komplekse netværksmiljøer foretrækker jeg normalt UFW frem for manuelt at skrive IPtables-regler.
Fail2ban kommer dog ikke med out of the box konfiguration til UFW som standard. Derfor vil jeg gerne dele mine konfiguration som du er velkommen til at bruge.
VIGTIG:
OBS-1. Du skal være meget forsigtig med at bruge denne guide, da du nemt kan få bannet IPere automatiske der ikke var meningen.
OBS-2. Når du har konfigureret Fail2ban som beskrevet, vil enhver, der forsøger at scanne serverportene straks blive banned af Fail2ban
Brug af denne guide er på eget ansvar!
Sådan sætter du UFW op sammen med Fail2ban.
For at bruge UFW med Fail2ban, skal du først installere Fail2ban samt UFW på din server. Dette kan nemt gøres med ”apt”. Brug denne kommando:
apt update && apt install fail2ban ufw -y
OBS:
- Hvis du har brug for hjælp til at sætte Fail2ban op med den grundlæggende konfiguration, kan du bruge denne guide fra howtoforge.com: https://www.howtoforge.com/how-to-install-fail2ban-on-ubuntu-22-04/
- Hvis du har brug for hjælp til at sætte UFW op med den grundlæggende konfiguration, kan du bruge denne guide fra howtoforge.com: https://www.howtoforge.com/ufw-uncomplicated-firewall-on-ubuntu/
Som standard kan jail-konfigurationsfilen findes på /etc/fail2ban/jail.conf. Dog anbefaler jeg stærkt du laver en /etc/fail2ban/jail.local og bruger denne fil til din konfiguration.
Brug denne kommando til at oprette jail.local:
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Indset nedestående konfiguration i (/etc/fail2ban/jail.local) og tilret eventuelt filen – Du kan også selv tilføje flere konfigurationer.
[ufw]
enabled=true
filter=ufw.aggressive
action=iptables-allports
logpath=/var/log/ufw.log
maxretry=1
bantime=-1
[sshd]
enabled=true
filter=sshd
mode=normal
port=22
protocol=tcp
logpath=/var/log/auth.log
maxretry=3
bantime=-1
ignoreip = 127.0.0.0/8 ::1
Næste skridt er at vi skal oprette en filterkonfigurationsfil på /etc/fail2ban/filter.d/ufw.aggressive.conf og tilføje følgende indhold:
[Definition]
failregex = [UFW BLOCK].+SRC= DST
ignoreregex =
Dette vil gøre det muligt for Fail2ban at opnå den kilde-IP, der er blevet slettet eller afvist af UFW, og håndhæve den politik, vi definerede tidligere.
Start nu Fail2ban-tjenesten
systemctl enable fail2ban
systemctl start fail2ban
systemctl status fail2ban
Kontroller nu jail conifg status med disse kommandoer
fail2ban-client status ufw
fail2ban-client status sshd
Unban af IP:
fail2ban-client set ufw unbanip IP-DU-VIL-UNBAN
F.eks
fail2ban-client set ufw unbanip 80.11.22.33
Min erfaring:
Min erfaring er, at jeg ved et uheld blokerede mig selv én gang og var nødt til at bruge et andet netværk for at oprette forbindelse til serveren. Dog var det var helt min egen fejl!
Derfor brug værktøjet omhyggeligt og tilføj eventuelle IP-adresser, som skal kunne oprette forbindelse til serveren under “ignoreip” i din ”/etc/fail2ban/jail.local”
Gode Guides:
Done
No comment yet, add your voice below!