أدوات وبرامجأمن وحماية السيرفراتمواضيع عامةمواضيع ومقالات

مقال : حماية خوادم لينكس من هجمات”Brute Force” باستخدام Fail2Ban

تم أرشفة هذا المحتوى


بسم الله الرحمن الرحيم

url

سوف نتحدث اليوم عن حماية  تقدمها اداة fail2ban والتي تعمل على مراقبة سجلات النظام في خوادم لينكس ومراقبة اي محاولة تسجيل دخول خاطئة والتحقق من تكرار العملية على السيرفر ثم يقوم السيرفر او البرنامج بحظر الايبي الذي يقوم بعملية التخمين ومحاولة كسر كلمة المرور  .

تنصيب fail2ban على السيرفر :

تنصيب البرنامج سهل جدا فقط  قم بتنفيذ الامر التالي على حسب نوع التوزيعه :
 
ubntu:
sudo apt-get install fail2ban
Centos:
rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
CentOS 7:
rpm -Uvh http://dl.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-1.noarch.rpm
اذا كنت تستخدم توزيعة centos بعد تنفيذ الامر السابق الخاص بتوزيعتك قم تنفيذ الامر :
 
yum install fail2ban -y
 
بعد عملية التنصيب نقوم باعداد البرنامج , سوف نقوم بنسخ ملف الاعدادات بالامر التالي:
 
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
الان قمنا بنسخ ملف الاعدادات الى وقمنا بتسميته jail.local  سوف نقوم بعمل جميع تعديلاتنا عليه ان وجدت وسوف يكون هو الملف المسؤول على اعدادات البرنامج والذي يحتوي على مجموعه من الخيارات المهمة , اذا قمت بفتح الملف سوف تجد بعض هذه الخيارات كالتالي :

 

ignoreip : هذا الخيار يحتوي على عناوين الايبي المسموح لهم بالاتصال بالخدمات دون اي حظر نستطيع
القول قائمة بيضاء لا يتم حظرها ابدا 

bantime : هذا الخيار يحتوي على المدة الزمنية التي سوف يبقى فيها الايبي محظور بشكل افتراضي يتم حظر
الايبي لفتره عشر دقائق .

 

maxretry : عدد المحاولات الخاطئة والتي سوف يقوم البرنامج بحظر الايبي بعدها مباشرة , هذا الخيار يعمل ايضا بمساعدة
خيار اخر findtime ويقوم بحساب الفتره الزمنية بين محاولة واخرى , لمعرفة اذا ما كانت الثلاث المحاولات الخاطئة
في نفس الفتره .

يمكن للبرنامج ايضا ارسال اليك رسالة الى الايميل بوجود هجوم على السيرفر او انه قام بحظر ايبي لشخص ما .

destemail = root@localhost
sendername = Fail2Ban
mta = sendmail

ls /etc/fail2ban/filter.d

بعد الانتهاء من اعداد ملف الاعدادات على السيرفر الاداة تعمل بشكل تلقائي على حماية خدمة ssh فقط وباقي الخدمات لا يتم تطبيق عليها اي حماية بشكل تلقائي يجب علينا اعداد البرنامج ليقوم بتطبيق الحماية عليها . خدمة ssh هي مجرد مثال لتوضيح فكره عمل البرنامج يمكن تطبيق نفس الفكره والحماية على الكثير من الخدمات والبرنامج يحتوي على العديد من الفلاتر التي يمكن استخدامها والموجوده في المسار

سوف تظهر لك العديد من الخدمات والبرمجيات التي يمكن اعداد البرنامج ليكتشف هجمات التخمين عليها .

هذه قائمة بالخدمات والبرامج التي تدعمها الاداة في الوقت الحالي :

3proxy
apache-auth
apache-badbots
apache-common
apache-modsecurity
apache-nohome
apache-noscript
apache-overflows
assp
asterisk
common
courierlogin
couriersmtp
cyrus-imap
dovecot
dropbear
ejabberd-auth
exim-common
exim
exim-spam
freeswitch
groupoffice
gssftpd
horde
lighttpd-auth
mysqld-auth
nagios
named-refused
nginx-http-auth
nsd
openwebmail
pam-generic
perdition
php-url-fopen
postfix.conf
postfix-sasl
proftpd
pure-ftpd
qmail
recidive
roundcube-auth
selinux-common
selinux-ssh
sendmail-auth
sendmail-reject
sieve
sogo-auth
solid-pop3d
squid
sshd
sshd-ddos
suhosin
uwimap-auth
vsftpd
webmin-auth
wuftpd
xinetd-fail

يمكنك تطبيق الحماية على اي خدمه من الخدمات التاليه وتبقى امنة من هجمات التخمين .

اعداد الحماية على خدام nginx .

على سبيل المثال نريد تطبيق الحماية على سيرفر nginx , نقوم بفتح ملف اعدادات الاداة jail.local سوف تجد اعدادات كل الفلاتر السابقة ويمكن استخدام اي واحده منها في حالتنا الان وعلى سبيل المثال لنفترض اننا نريد حماية عملية المصادقة لسيرفر nginx .

[nginx-http-auth]

enabled = true
filter  = nginx-http-auth
port    = http,https
logpath = /var/log/nginx/error.log

ونقوم بتفعيل الخدمه عن طريق تغيير false الى true ايضا قم بتغيير اللازم اذا كان اي اختلافات لديك في السيرفر مثل مسار ملف log والايميل الذي تريد ان يصل اليه التقرير او التنبيه كذلك عدد المحاولات والوقت .

بعد عملية التعديل يجب علينا عمل اعاده تشغيل للأداة من خلال الامر التالي :

service fail2ban restart

سوف تعمل الان الاداة ان شاء الله بشكل سليم .

علي الوشلي

علي الوشلي من اليمن, مدير مجتمع iSecur1ty , مهتم بأمن المعلومات واختبار الاختراق . حسابي على تويتر : ali_alwashali@

مقالات ذات صلة

‫6 تعليقات

  1. السلام عليكم عندي سؤال مهم جدا وارجو الاجابة عليه

    كيف اقوم بصنع سيرفر حقيقي خاص بيه يحتوي على ذاكرة كبيرة ورام وبروسيسر واقوم بربطه والتحكم فيه من حاسوبي
    يرجى الاجابة عن سؤالي واكون شاكر لك اخي العزيز

    1. لم افهم بالضبط بقولك حقيقي ويحتوي على مواصفات قويه .
      السيرفر الافتراضي على virtualbox هو في الحقيقه سيرفر حقيقي ولا يختلف على السيرفر المنصب على جهاز كامل بأي شي .

  2. السلام عليكم اخوي شكرا للشرح بس عندي سؤال لو عندي اي موقع حاب اضيفه في لسته وانه يعملي بلوك للدخول كيف ؟؟

    ارجو الرد
    وشكرا

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى