راه اندازی و تنظیم پکیچ fail2ban

راه اندازی و تنظیم پکیچ fail2ban

 

مقدمه

هکرها برای ارسال اسپم نیاز به آی‌پی هایی با اعتبار مناسب برای ارسال ایمیل‌های مخرب خود دارند. لذا برای بدست آوردن نیاز به ایمیل سرور هایی دارند که آی‌پی آن از اعتبار خوبی در اینترنت برخوردار است. یکی از راه‌های بدست آوردن اکانتی از آن دامنه استفاده از حملات Brute-Force‌ است.

برای جلوگیری از این حملات در ایمیل سرور از پکیج fail2ban استفاده می‌کنیم.

هدف

جلوگیری از حملات Brute-force

برای راه اندازی پکیج fail2ban برای ایمیل سرور Axigen ابتدا باید پیشنیازهای زیر را رعایت کنید:

1- مقدار enableSecurityLog در فایل تنظیمات ایمیل سرور Axigen در مسیر /var/opt/axigen/run/axigen.cfg  را از no به yes تغییر داده و ذخیره کنید.

سپس یک مرتبه سرویس Axigen را با دستور زیر ریست کنید:

service axigen restart

2- سرویس SeLinux را از Enforcing به Permissive تغییر دهید.

(لطفا به فایل پایگاه دانش PAR-P-KB-AX013_SELinux رجوع کنید.)

نصب پکیج fail2ban در نسخه های6 و 7 سیستم عامل Centos به شکل زیر انجام می‌شود:

Centos-6.: yum –y install fail2ban

Centos-7.: yum –y install fail2ban-all

پس از اتمام نصب باید فایل فیلتر سرویس Axigen را در مسیر /etc/fail2ban/filter.d/axigen.conf ایجاد کنید و محتویات زیر را درون آن قرار داده و ذخیره کنید:

[INCLUDES]

before = common.conf

 [Definition]

_daemon = axigen

failregex = ^%(__prefix_line)s.* SECURITY:[0-9A-Z_\-]+[:;][0-9A-F]+[:;]<HOST>[:;][0-9]+[:;]OP_FAIL[:;].*$

ignoreregex =

 [Init]

maxlines = 10

سپس باید یک فایل jail برای راه اندازی سرویس fail2ban در مسیر /etc/fail2ban/jail.local  بسازید که تمامی تنظیمات را در آن ذخیره کنید و محتویات زیر را در آن قرار داده و ذخیره کنید

[DEFAULT]

[axigen]

enabled = true

filter = axigen

backend = polling

logpath = /var/opt/axigen/log/security.txt

banaction = iptables-allports

maxretry  = 5

findtime  = 600

bantime   = 3600

در انتها باید سرویس fail2ban را استارت کنید

service fail2ban start

chkconfig fail2ban on

طبق این تنظیمات اگر طی مدت 10 دقیقه 5 بار پسورد اشتباه وارد شود آی پی کاربر بمدت یک ساعت بلاک می شود.