قصد داریم تو این بخش آموزش محافظت از وب سرور Nginx توسط Fail2ban رو آموزش بدیم. وقتی بحث استفاده از وب سرور باشه، من خودم همواره استفاده از Nginx رو ترجیح دادم. شاید بیشتر به خاطر اینکه سرعتش فوق العاده ست و کانفیگ راحتش باعث میشه که خیلیا ازش راضی باشن، ولی بهرحال واقعاً نمیشه قدرت آپاچی رو به هیچ عنوان انکار کرد.
هر ادمینی ممکنه علایق خودشو داشته باشه. با توجه به اینکه طبق آخرین آمارها Nginx داره هر روز محبوبتر میشه، ترجیح دادیم که براتون از این وب سرور استفاده کنیم تا کمی در مورد Fail2ban حرف بزنیم و بهتون بگیم که چطور میشه با استفاده از این ابزار قدرتمند از سرور و وب سرورتون محافظت کنید.
Fail2ban یه سرویس نرمافزاریه که با پایتون نوشته شده و بهعنوان یه حفاظ عمل میکنه و از سرورها در مقابل یک سری حملات brute-force مراقبت میکنه. کار این حملات اینه که بر اساس آزمون و خطا (Trial and Error) عمل میکنن و خیلی بیشتر میتونن با این روش سرورها رو به زانو در بیارن و اطلاعات کاربران رو بدزدند.
یه سری باتهایی هستن که این کارو بهصورت اتوماتیک انجام میدن، این برنامه خودکار(bot) شروع میکنه به ارسال درخواستهای login بهصورت پشت سر هم و وبسیار زیاد که در واقع این درخواستها یه جور حدس زدن هستن برای اینکه بتونه اطلاعات درخواست شده از سمت سرور رو با حدسهای خودش تطبیق بده و بلاخره یه اطلاعاتی گیر بیاره و تمام !
fail2ban حتی میتونه مانع از حملات DDOS هم بشه و اگر مثلاً تعداد درخواستهای http بیشتر از یه حدی از سمت یه ip خاص بالاتر بره، شروع میکنه به ban کردن اون ip های درخواست دهنده که از یه محدودیت set شده بالاتر رفتن.
شاید بگین ایمن کردن وبسایتها و اپلیکیشنهاتون با فایروالهای نرمافزاری و محدود کردن دسترسیها که خوبه، پس چرا باید ازFail2ban استفاده کنیم؟
در جواب باید بگیم که اون فقط یه شروع برای ایمن کردن سیستمها و وبسایتهاتون بوده و هر سرویسی که به صورت عمومی سیستم login داشته باشه و نام کاربری و رمز عبور بخواد، قطعاً پتانسیل اینو داره که همچین حملاتی رو جذب کنه و شما باید براش آماده باشید و در این راه fail2ban بهعنوان یک برنامه آزاد/متن باز که هم سبک، ساده و بدون دردسره، خیلی میتونه کمکتون کنه و تقریباً دست این دوستان بات و نرمافزارهای اتوماتیک رو از وبسایت و وب سرور و سرویس ssh و غیره کوتاه کنه.
همونطور که از اسم این سرویس معلومه، میگه fail کنید تا ban بشید. مثلاً اگر یه کاربر که میخواد login کنه و به تکرار در ۳۰ دقیقه ۵ بار نام کاربریش رو با چند رمز مختلف حتی به اشتباه و غیر عمد وارد کنه، fail2ban به سرعت در مرحله اول برای یه مدتی که خودتون هم (بهعنوان Admin) میتونید تعریفش کنید، دست اون کاربر رو از وبسایت شما کوتاه میکنه و دیگه نمیتونه حتی نام کاربری و رمز عبور خودش رو امتحان کنه.
حتی اگر یه کاربر بخواد کارای مشکوک انجام بده و مثلاً توی یک ساعت بیشتر از ۱۰ بار login و logout کنه هم میتونه شامل این قوانین بشه. با توجه به توضیحاتی که دادیم، حملات brute-force هم از همین جنس هستن و یه بات اگر بخواد هی مداوم تلاش کنه و تلاش کنه، بهراحتی ban شده و دیگه نمیتونه از اون آیپی خاص استفاده کنه.
داخل fail2ban یک سری فایل کانفیگ وجود داره که عزیزان سازندهاش اسمی بس برازنده براش انتخاب کردن بنام ” jail ” یا همون زندان که این تنظیمات بر مبنای فایلهایlog سرویسهای مختلف، تنظیم و اجرا میشن و همونطور که میدونید همه لاگها رو میشه داخل /var/log پیدا کرد که nginx هم از این قاعده مستثنی نیست.
اگر کاربری تلاش کنه که وارد سیستم بشه و نتونه، قطعاً براش یه لاگ وجود خواهد داشت که با توجه به همین فایل لاگ، fail2ban میتونه اونارو بررسی کرده و اگر مشکوک بود، بعد از چند تلاش ناموفق اون کاربر یا بات یا هر کسی که هست رو بر اساس آیپی، ban میکنه و برای مدت کوتاهی زندانی شده و دسترسیش قطع میشه و اگر بیشتر تکرار کنه، برای همیشه میتونه ban بشه.
کافیه فقط یک سرور یا دسکتاپ (Debian base) اوبونتو ۱۸.۰۴ (یا Debian) آماده داشته باشید که البته این آموزش میتونه برای نسخه ۱۴ به بالای اوبونتو کاملاً جوابگو باشه. همچنین کاربری شما باید دسترسی Sudo داشته باشه و به اینترنت متصل باشید.
طبق معمول همیشه اول باید سیستم رو بهروزرسانی کنید. بعد nginx رو نصب کنید:
sudo apt update && sudo apt upgrade
sudo apt install nginx
حالا باید توجهتون رو به این نکته مهم جلب کنیم:
همونطور که گفتیم fail2ban بر اساس فایلهای لاگ که خطای ورود و خروج رو ثبت میکنن، کار میکنه. در حالت عادی سرور nginx سیستم ورود و خروج نداره و نام کاربری و رمز عبور نمیخواد و باید براش راهاندازی کنید.
برای این کار اول باید فایلی رو بسازید که ترکیب رمزنگاری شدهی نام کاربری و کلمه عبور شما رو در خودش داشته باشه به نام “.htpasswd”. روشهای مختلفی وجود داره که یکیش از طریق Apache-utils انجام میشه، و یکی دیگه استفاده ازOpenSSL هست که ما اینجا روش دوم رو توضیح میدیم؛ چون معمولاً OpenSSL روی سرورها و توزیع۲های لینوکس به صورت پیشفرض نصب شده و در دسترس کاربران قرار گرفته.
فایل htpasswd. رو با استفاده از OpenSSL میسازیم و داخل مسیر /etc/nginx قرار میدیم تا ترکیب Hash شده نام کاربری و کلمه عبور مورد نظرمون رو در اون ذخیره کنیم و ازش داخل تنظیمات Virtual host مربوطه استفاده کنیم.
با استفاده از دستور زیر میتونید فایل htpasswd. رو بسازید و نام کاربری رو داخلش قرار بدید، ما اینجا از نام کاربری ali استفاده کردیم و شما میتونید نام کاربری مورد نظر خودتون رو بجای اون قرار بدید:
sudo sh -c “echo -n ‘ali:’ >> /etc/nginx/.htpasswd”
حالا باید با استفاده از OpenSSL کلمه رمز رو تولید کنید و اون رو بهصورت رمزنگاری شده با نام کاربری ترکیب کنید و داخل فایل htpasswd. قرار بدید. وقتی دستور زیر رو اجرکنید ازتون رمز عبور رو برای خط hash شده (که شامل نام ali هست) میپرسه و شما باید بهش رمز عبور مد نظرتون رو بدید:
sudo sh -c “openssl passwd -apr1 >> /etc/nginx/.htpasswd”
یادتون نره که میتونید هر چند تا نام کاربری و کلمه عبور میخواهید با همین روش تولید کنید و برای سرویسهای مختلف ازش استفاده کنید و همشون رو داخل همین فایل htpasswd. قرار بدید. فقط کافیه داخل تنظیمات Virtual Host مربوط به اون سرویس مد نظرتون، به nginx بگید که قبل از دسترسی نام کاربری و کلمه عبور رو بپرسه.
اگر فایل htpasswd. رو بررسی کنید، یه همچین چیزی میبینید:
cat /etc/nginx/.htpasswd
Output
ali:$apr1$wI1/T0nB$jEKuTJHkTOOWkopnXqC1d1
در اینجا باید تنظیماتی انجام بدیم که وب سرور Nginx قبل از ارائهی محتوای مد نظر ما که میخواهیم محافظت بشه، این فایل رو بررسی کنه و تایید کنه که کاربری که نام و کلمه عبورش رو وارد میکنه اصلاً میتونه دسترسی داشته باشه یا نه؟
برای این کار لازمه ما تنظیمات مد نظر رو در مورد اون فایل Virtual host انجام بدیم. حالا اگر فرض کنیم که فایل ما همون فایل default داخل آدرس /etc/nginx/sites-available باشه، با این دستور میتونید محتوای داخل فایل تنظیمات default رو ببینید و تغییر بدید:
sudo vi /etc/nginx/sites-enabled/default
نکته: یادتون نره که اگر نمیخواهید از این فایل default استفاده کنید، بهتره ازش کپی بگیرید و جای دیگهای یه نسخه ازش داشته باشید.این تنظیمات رو کپی کنید تا فایل اصلی دست نخورده بمونه یا کلاً اون رو Unlink کنید.
از این تنظیمات هم برای تست میتونید استفاده کنید:
server {
listen 80 default_server;
listen [::]:80 default_server ipv6only=on;
root /usr/share/nginx/html;
index index.html index.htm;
server_name localhost;
location / {
try_files $uri $uri/ =404;
}
}
حالا بسته به نوع محدودیت دسترسی که میخواهید اعمال کنید، میتونید انواع مختلفی از تنظیمات رو انجام بدید تا دسترسی به محتوا رو محدود کنید. تنظیمات مربوط به این کار میتونه در مرحله server یا روی location ها انجام بشه.
در این مورد ما تصمیم داریم فقط برای نشون دادن اینکه این روش چطور کار میکنه، محتوای root تعریف شده برای سرور رو محدود کنیم تا فقط به هدفمون برسیم. برای محدود کردن location های مختلف میتونید از دستور auth_basic در تنظیمات هاست مجازی، برای فعال کردن سیستم احراز هویت، و یک نام برای نمایش اینکه چه نوع محدودیتی قرار دادیم، استفاده کنید. در خط بعد از دستوری استفاده میکنیم که نشون بده فایل مربوط به نامهای کاربری و رمز هاشون کجا قرار داره با عنوان auth_basic_user_file .
با اضافه کردن این تنظیمات فایل virtual host ما این شکلی میشه (میتونید کل نوشتههای داخل default رو پاک کنید و اینارو کپی/پیست کنید):
server {
listen 80 default_server;
listen [::]:80 default_server ipv6only=on;
root /usr/share/nginx/html;
index index.html index.htm;
server_name localhost;
location / {
try_files $uri $uri/ =404;
auth_basic “Restricted Content”;
auth_basic_user_file /etc/nginx/.htpasswd;
}
}
بعد از تموم شدن کار تنظیمات فایل رو ذخیره کنید و خارج بشید. سرویس nginx رو restart یا reload (که reload کردن همیشه بهتره( کنید تا تغییرات انجام شده رو فعال کنه:
sudo service nginx reload
اگر مرورگرتون رو باز کنید و اون آدرس مد نظرتون رو وارد کنید، باید ازتون نام کاربری و رمز عبور بخواد که در این مورد ما نام server رو localhost قرار دادیم:
http://localhost
تا اینجا ما تونستیم به وب سرور بگیم که سیستم احراز هویت رو برقرار کنه و اگر از این به بعد کسی نتونه وارد این صفحه بشه و یا اشتباهی نام کاربری و رمزش رو بده، میشه داخل فایل /var/log/nginx/error.log/ موارد ثبت شده رو پیدا کرد که برنامه fail2ban هم دقیقاً از همین log ها استفاده میکنه. مثلاً روی ubuntu 18.04 لاگ این error ها میره داخل فایل var/log/nginx/error.log.1/.
خب همه چی آماده ست که نصب رو شروع کنیم:
sudo apt update
sudo apt install fail2ban
این دستور fail2ban رو نصب میکنه، اما لازمه بدونید که در حالت پیشفرض fail2ban فقط تلاشهای ناموفق روی ssh رو ban میکنه و برای کارهای دیگه باید تنظیمات خاص خودشون رو انجام بدیم.
همونطور که گفتیم باید تنظیمات خاصی رو انجام بدیم تا بتونیم وظایف مشخصی رو بهش بدیم. فایلی که fail2ban تنظیماتش رو داخل اون نگه میداره رو میتونید داخل مسیر /etc/fail2ban/jail.conf پیدا کنید.
برای اینکه ما تغییرات خودمون رو اعمال کنیم، اصلاً لازم نیست این فایل رو تغییر بدیم و فقط کافیه این فایل رو کپی کنید به اسم jail.local و داخل فایل جدید تغییرات رو انجام بدیم. fail2ban همچنان این فایل رو هم خواهد فهمید:
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
حالا فایل رو باز کنید و بیایید یه نگاهی به تنظیمات پیشفرض اون بندازیم:
sudo vi /etc/fail2ban/jail.local
اول بیایید تنظیمات کلی رو بررسی کنیم و اونارو نسبت به نیازمون تغییر بدیم:
یکی از اولین چیزهایی که باید بهش توجه کنید، بخش [DEFAULT] هست.
شاید ما نیاز داشته باشیم کاربران خاصی رو از این قوانین set شده مستثنی کنیم. این نوع Policy ها با دستور ignoreip مشخص میشن.
مثلاً خیلیها حتماً ip local خودشون رو در این قسمت وارد میکنن که هیچوقت شامل این قوانین نشن و اگر یه وقت کلمه عبور یادشون رفت، دسترسی شون به سیستم خودشون قطع نشه:
/etc/fail2ban/jail.local
[DEFAULT]
ignoreip = 127.0.0.1/8 # آی پی شما
آیتم دیگه ای که ممکنه شما بخواهید تغییرش بدید، بخش bantime هست که مشخص میکنه یه کاربر تا چند ثانیه (s) (دقیقه m یا ساعت h) باید دسترسیش از سیستم قطع یا ban بشه.
توجه: این فایل رو خوب مطالعه کنید چون در هر قسمت از تنظیمات، توضیحات خوبی ارائه داده که شک و شبههای در مورد دستورات داخل این فایل به جا نمیگذاره. اگر باز هم مشکلی داشتید حتماً man page ، fail2ban رو بخونید.
از موارد دیگه در این فایل findtime و maxretry هستن. در اینجا این دو دستور با هم کار میکنن و findtime معمولاً به ثانیه تعریف میشه (میتونه دقیقه و ساعت هم باشه) و maxretry همونطور که از اسمش پیداست نشون میده که هر کاربر چند بار میتونه ورود به سیستم رو دوباره امتحان کنه. حالا این دوتا با هم نشون میدن که یک کاربر کلاً در یک بازه زمانی مشخص چند بار میتونه login رو دوباره و دوباره امتحان یا همون retry کنه. مثلاً داخل فایل میتونه این شکلی باشه:
etc/fail2ban/jail.local/
[DEFAULT]
. . .
findtime = 3600 # این دو خط باهم میتونن به این شکل ترکیب بشن دقت کنید که حالت پیش فرض این فایل بر ثانیه محاسبه میشه
maxretry = 6
# با توجه به مقدار این قسمت میشه تعیین کرد هر کاربر در بازه زمانی بالا چند بار میتونه تلاش کنه که وارد بشه و اگر
#بیشتر شد از ورودش ممانعت میشه
اگر به ادامه تنظیمات در فایل jail.local دقت کنید، میتونید ببینید که تنظیمات خاصی برای سیستم MTA هم وجود داره. یعنی اینکه اگر خواستید، میتونید مشخص کنید در صورتی که کسی نتونست وارد بشه و Ban شد یا به هر دلیل کسی تلاش کرد که به سیستم نفوذ کنه، به ما ایمیل ارسال بشه. برای ارسال ایمیل هم میتونید سیستم MTA رو روی سیستم خودتون نصب و راهاندازی کنید که برای اون میتونید به این مطلب مراجعه کنید.
حالا که سیستم ایمیل شما فعال شده، میتونید باز هم یه سری تغییرات داخل بخش DEFAULT انجام بدید. اگر طبق مطلبی که برای نصب و راهاندازی Postfix گفتیم عمل کردید، داخل بخش [DEFAULT] مقدار mta رو مساوی mail قرار بدید و بعد مشخص کنید که در قسمت destmail ایمیلها به چه کسی ارسال بشه و با تغییر مقدار sendername میتونید مشخص کنید که ایمیل از کجا و از طرف چه کسی ارسال میشه.
در تنظیمات fail2ban ، از اصطلاح action در موارد مختلف استفاده میشه. action در واقع به پروسهای گفته میشه که وقتی یک کاربر تلاشهای زیادی میکنه اما نمیتونه وارد سیستم بشه و ip ban میشه، بر اساس اون سیستم تصمیم (action) میگیره باید چیکار بکنه. حالا action بهصورت default اینه که اون کاربر با ip مشخص روی اون پورت مشخص ban بشه؛ اما اگر سیستم MTA رو راهاندازی کرده باشید میتونید از روشهای دیگه هم استفاده کنید.
مثلاً از action_mw استفاده کنید تا fail2ban بعد از ban کردن اون ip، یه پیام به ایمیلی که شما مشخص کردید با یک گزارش وقایع ارسال کنه تا شما بتونید در موردش تصمیم بگیرید. شما حتی میتونید از action_mwl استفاده کنید تا بهتون log مربوط به این اتفاق رو هم ارسال کنه و شما متوجه بشید چه لاگی باعث این ban شده. چند مورد بالا رو داخل فایل به این شکل میتونید تغییر بدید:
etc/fail2ban/jail.local/
[default]
. . .
mta = mail
destemail = youraccount@email.com
sendername = fail2banalerts
action = %(action_mwl)s
خب حالا که یک سری از تنظیمات کلی fail2ban رو دیدیم، میتونیم روی تنظیمات خاص nginx برای jail ها تمرکز کنیم و ببینیم اصلاً اینها چطوری وب سرور ما رو زیرنظر دارن و به چه رفتارهایی روی log ها حساس هستن.
اگر فایل jail.local رو به دقت نگاه کنید، متوجه میشید که هر بخش (بهغیر از بخش [DEFAULT] )، یک jail هست با یک سری مشخصات و یک نام مخصوص که این اسامی داخل براکت قرار دارن، و در حالت پیشفرض فقط زندان مربوط به ssh فعاله و بقیه اون بخشها باید به دلخواه ما تغییر داده بشن.
برای اینکه fail2ban به log های nginx نظارت کنه، باید بخش (زندان) مربوط به خودش یعنی [nginx-http-auth] رو تغییر بدیم، تنظیماتش رو عوض کنیم و فعالش کنیم. البته ممکنه این تنظیمات به صورت پیشفرض وجود نداشته باشن که خودتون میتونید مثل من تغییرش بدید و مقدار enabled رو مساوی true قرار بدید تا این زندان فعال بشه. میتونید به این شکل تغییرش بدید:
etc/fail2ban/jail.local/
[nginx-http-auth]
enabled = true
filter = nginx-http-auth\
port = http,https
logpath = /var/log/nginx/error.log
شاید براتون سوال بشه که اینها رو از کجا آوردیم؟ میتونید نحوه ایجاد تغییرات در این فایل رو در وبسایت اصلی fail2ban در اینجا ببینید که شامل بخش Nginx هم میشه. فقط یادتون نره که این تنظیمات برای زندان مخصوص nginx در بسته قابل نصب fail2ban مربوط به ubuntu انجام شده ولی ما درواقع میتونیم حتی زندانهای خاص خودمون رو طراحی کنیم و براشون تنظیمات خاصی هم در نظر بگیریم.
مثلاً میتونیم زندانی بسازیم به نام [nginx-noscript] که کاربرانی رو تحت نظر داشته باشه که بدنبال اسکریپتهای نوشته شده به روی وبسایت هستن تا کارهایی باهاشون انجام بدن یا ازشون سوءاستفاده کنن. اگر از PHP یا زبانهایی که مستقیماً در ارتباط با وب سرور شما هستن “استفاده نمیکنید”، میتونید از این زندان استفاده کنید:
etc/fail2ban/jail.local/
[nginx-noscript]
enabled = true
port = http,https
filter = nginx-noscript
logpath = /var/log/nginx/access.log
maxretry = 6
. . .
دقت کنید که میتونید که زندانهای مربوط به nginx رو بعد از خط jail ، [nginx-http-auth] به فایل اضافه کنید.
میتونید زندان مربوط به [nginx-badbots] رو استفاده کنید که درخواستهای ارسالی از bot های شناخته شده رو ban میکنه.
اگر nginx رو طوری تنظیم کردید که کاربران به محتوای وب روی مسیر home خودشون دسترسی نداشته باشن، میتونید کاربرانی رو که این درخواستها رو ارسال میکنن هم با استفاده از زندان [nginx-nohome] ban کنید.
etc/fail2ban/jail.local/
[nginx-badbots]
enabled = true
port = http,https
filter = nginx-badbots
logpath = /var/log/nginx/access.log
maxretry = 2
[nginx-nohome]
enabled = true
port = http,https
filter = nginx-nohome
logpath = /var/log/nginx/access.log
maxretry = 2
در حالت عادی شما نباید اجازه بدید هیچ کاربری از وب سرور شما بهعنوان یک پروکسی ” باز و در دسترس ” استفاده کنه. برای اینکه مانع از اینکار بشید از زندان [nginx-noproxy] استفاده کنید.
etc/fail2ban/jail.local/
[nginx-noproxy]
enabled = true
port = http,https
filter = nginx-noproxy
logpath = /var/log/nginx/access.log
maxretry = 2
پس از اعمال تغییرات، اون رو ذخیره کنید. حالا باید با اضافه کردن یک سری فیلتر به jail هایی که در داخل فایل /etc/fail2ban/jail.local ساختیم، محدودیتهای مد نظرمون رو اعمال کنیم.
تا به اینجا ما فایل etc/fail2ban/jail.local/ رو بهروزرسانی کردیم و در اون زندانهایی (خطوط تنظیمات jail ها) رو اضافه کردیم که رفتارهای مختلفی که مشکوک یا خطرناک هستن رو ban کنن. حالا باید برای این jail هایی که ساختیم یک سری فیلتر تعریف کنیم. این فایلهای فیلتر در واقع بهدنبال رفتارهای خاص داخل log های nginx خواهند بود. اول باید وارد مسیر فیلترها بشید:
cd /etc/fail2ban/filter.d
ما در مرحله اول میخواهیم فایلی رو بسازیم که pattern فیلترینگ خود nginx رو برای سیستم احراز هویت دستکاری کنه تا یک حالت دیگهای از خطاهای کاربرانی که نتونستن وارد سیستم بشن رو هم بشناسه و log فایلها رو بررسی کنه. این فایل رو باز کنید:
sudo vi nginx-http-auth.conf
با اضافه کردن این failregex به ادامه فایل ما درواقع نوعی از رفتار رو تعریف میکینم که در اون اگر کاربری تلاش کرد بدون وارد کردن نام کاربری یا کلمه عبور(یعنی بدون هر دو) وارد سیستم بشه، رو هم شناسایی کنیم (خط قرمز رو کپی/پیست کنید):
etc/fail2ban/filter.d/nginx-http-auth.conf/
[DEFINITION]
failregex = ^ \[error\] \d+#\d+: \*\d+ user “\S+”:? (password mismatch|was not found in “.*”), client: , server: \S+, request: “\S+ \S+ HTTP/\d+\.\d+”, host: “\S+”\s*$
^ \[error\] \d+#\d+: \*\d+ no user/password was provided for basic authentication, client: , server: \S+, request: “\S+ \S+ HTTP/\d+\.\d+”, host: “\S+”\s*$
ignoreregex =
فایل رو ذخیره کنید و خارج بشید.
در مرحله ۲ میریم سراغban کردن bot ها که میتونیم از تنظیمات apache برای این کار استفاده کنیم.
فقط کافیه که فایل apache-badbots.conf رو برای فیلتر بعدی استفاده کنیم و ازش یه کپی با اسم nginx بسازیم:
sudo cp apache-badbots.conf nginx-badbots.conf
حالا با ساختن فیلتر nginx-badbots.conf این فیلتر هم با تنظیمات apache برای وب سرور ما هم کار خواهد کرد.
مرحله ۳ ساختن فیلتر برای زندان [nginx-noscript] ، که اول باید فایل فیلترینگ رو براش بسازیم:
sudo vi nginx-noscript.conf
خطوط زیر رو کپی کنید داخل این فایل و یادتون باشه میتونید پسوندها یا فایلهایی با این پسوندها که سرور شما بهصورت قانونی استفاده میکنه یا به هر دلیلی اگر خواستید استفاده نکنه، رو میتونید اینجا قرار بدید و عوض کنید:
etc/fail2ban/filter.d/nginx-noscript.conf/
[DEFINITION]
failregex = ^ -.*get.*(\.php|\.asp|\.exe|\.pl|\.cgi|\.scgi)
ignoreregex =
فایل رو ذخیره کنید و خارج بشید.
مرحله ۴ ساختن فیلتر برای [nginx-nohome] ، اول فایل رو باز کنید و بعد محتوای زیر رو اضافه کنید:
sudo vi nginx-nohome.conf
etc/fail2ban/filter.d/nginx-nohome.conf/
[Definition]
failregex = ^ -.*GET .*/~.*
ignoreregex =
فایل رو ذخیره کنید و خارج بشید.
در مرحله آخر این بخش باید یک فایل فیلتر دیگه برای زندان [nginx-noproxy] بسازیم.
فایل رو باز کنید و محتویات زیر رو وارد کنید. این تنظیمات در واقع مانع از استفاده شدن سرور شما بهعنوان پروکسی میشن:
sudo vi nginx-noproxy.conf
etc/fail2ban/filter.d/nginx-noproxy.conf/
[Definition]
failregex = ^ -.*GET http.*
ignoreregex =
فایل رو ذخیره کنید و خارج بشید.
برای فعالسازی این تغییرات انجام شده باید سرویس fail2ban رو restart کنید:
sudo service fail2ban restart
شما میتونید وضعیت تمامی زندانهای فعال شده رو با دستور زیر بررسی کنین:
sudo fail2ban-client status
یه همچین خروجی نمایش میده:
…
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N fail2ban-nginx-badbots
-N fail2ban-nginx-http-auth
-N fail2ban-nginx-nohome
-N fail2ban-nginx-noproxy
-N fail2ban-nginx-noscript
-N fail2ban-ssh
-A INPUT -p tcp -m multiport –dports 80,443 -j fail2ban-nginx-noproxy
-A INPUT -p tcp -m multiport –dports 80,443 -j fail2ban-nginx-nohome
-A INPUT -p tcp -m multiport –dports 80,443 -j fail2ban-nginx-badbots
-A INPUT -p tcp -m multiport –dports 80,443 -j fail2ban-nginx-noscript
بعد از اجرای این دستور شما باید یک لیستی از زندانهای فعال شده رو ببینید. شما میتونید به iptables نگاهی بندازید و ببینید چطور fail2ban قوانین فایروال شما رو تغییر داده تا یک چهارچوب رو تعریف کنه برای ban کردن. جالب اینجاست که حتی اگر شما قبلاً قوانینی برای firewall تعریف نکرده باشید، خواهید دید که fail2ban این قوانین رو کاملاً هدفدار برای شما روی iptable پیاده کرده:
sudo iptables -S
حالا اگر بخواهید جزئیات ban های اتفاق افتاده توسط fail2ban و زندانهاش رو ببینید، احتمالاً راحتترین کار بررسی کردن وضعیت fail2ban-client باشه:
sudo fail2ban-client status nginx-http-auth
یه خروجی به این شکل خواهد داشت:
Status for the jail: nginx-http-auth
|- filter
| |- File list: /var/log/nginx/error.log
| |- Currently failed: 0
| `- Total failed: ۰
`- action
|- Currently banned: 0
| `- IP list:
دوستان این خیلی مهمه که قوانین وضع شده خودتون رو حتماً امتحان کنید و مطمئن بشید که کار میکنه یا نه. مثلاً اگر سیستم احراز هویت روی nginx گذاشتید، میتونید چند بار بهصورت عمدی اطلاعات رو اشتباهی وارد کنید و ببینید که آیا شما روban میکنه یا نه.
اگر email رو فعال کردید تا بهتون اطلاع بده در مورد ban شدهها آیا بهتون ایمیل رسیده یا نه، به fail2ban-client نگاهی بندازید. باید یه آیپی ban شده ببینید.
مثلاً یه خروجی به این شکل خواهد داشت:
Status for the jail: nginx-http-auth
|- filter
| |- File list: /var/log/nginx/error.log
| |- Currently failed: 0
| `- Total failed: ۱۲
`- action
|- Currently banned: 1
| `- IP list: ۱۱۱.۱۱۱.۱۱۱.۱۱۱
`- Total banned: ۱
حالا اگر بخواهید اینها رو بصورت دستی از ban خارج کنید، چیکار میتونید بکنید؟ مثلاً اگر ip موردنظر ۱۱۱.۱۱۱.۱۱۱.۱۱۱ باشه، میتونید اینطوری اونا رو از ban خارج کنید:
sudo fail2ban-client set nginx-http-auth unbanip 111.111.111.111
دوستان عزیز در این آموزش دیدید که چطور fail2ban میتونه با یک سری تنظیمات اولیه و ساده یک امنیت بسیار مناسب رو براتون فراهم کنه. هر چند که fail2ban یک framwork ساده بهحساب میاد ولی تنظیمات بسیار زیادی داره و میشه خیلی در موردش مانور داد.
اگر خودتون هم کمی داخل فایلهای اصلی تنظیمات اشاره شده مثل jail.local ، filter.d و action.d کمی چرخ بزنید، میتونید کارای جالبی رو برای امنیت بیشتر انجام بدید.
پس نترسید و فقط شروع کنید و اگر مشکلی بود با ما تماس بگیرید.تیم حرفهای سینداد همیشه در خدمت شماست.
جمع آوری شده توسط: حمید نبی زاده
سینداد یعنی هدیهی سیمرغ، یا فرزند سیمرغ؛ به عبارتی یعنی خود سیمرغ، با همه ی شگفتی هایش، اما جوانتر و سرزنده تر. و این چیزی است که ما سعی می کنیم در سینداد باشیم. از سال ۱۳۸۵ دانش مان را به صورت خدماتی در حوزه ی هاستینگ، شبکه و تولید نرم افزار در اختیار مشتریان مان قرار داده ایم و به این افتخار می کنیم که تک تک آنها تا به امروز همراه ما مانده اند. باور داریم که سینداد صرفاً یک شرکت نیست، بلکه نوعی باور است به ارائه ی شگفت انگیز از هر چیز.
