Защита от брутфорс-атак (Fail2Ban)
Блокировка IP-адресов (Fail2Ban) - это автоматизированный способ защитить ваш сервер от атак методом перебора (брутфорс). Используя регулярные выражения, Fail2Ban проверяет файлы журналов на различные подозрительные ошибки.
Если тот или иной IP-адрес делает слишком много попыток входа за указанный администратором период, то этот IP-адрес временно блокируется. Кроме того, Fail2Ban может обновлять правила брандмауэра и отправлять почтовые уведомления. По окончании периода блокировки IP-адрес автоматически разблокируется.
Примечание. Чтобы использовать Fail2Ban, администраторам, обновляющим Plesk с версии 11.5, необходимо приобрести новый ключ лицензии для Plesk 12 у компании Odin или своего поставщика.
Чтобы настроить блокировку IP-адресов и сетей, создающих вредоносный трафик для вашего сервера:
- Откройте Инструменты и настройки > Блокировка IP-адресов (Fail2Ban) (в разделе Безопасность ). Нужно установить компонент Fail2Ban на ваш сервер.
- Поставьте галочку Включить обнаружение атак.
- Укажите следующие параметры:
- Период блокировки IP-адреса - период времени в секундах, на который будет заблокирован IP-адрес. По окончании этого периода IP-адрес автоматически разблокируется.
- Интервал обнаружения последующих атак - интервал времени в секундах, в течение которого система подсчитывает количество безуспешных попыток входа и других нежелательных действий со стороны того или иного IP-адреса.
- Допустимое количество неудачных попыток входа перед блокировкой IP-адреса - количество неудавшихся попыток входа со стороны IP-адреса.
- Нажмите OK.
Теперь все активные джейлы Fail2Ban будут использоваться для мониторинга файлов журналов и блокировки подозрительных IP-адресов.
Использование Fail2Ban в Plesk имеет следующие особенности и ограничения:
- Не перезапускайте Fail2Ban вручную, как службу Plesk, так как это приведет к потере всей собранной статистики, включая заблокированные на данный момент IP-адреса.
- Fail2Ban не дает защиты от атак с IPv6-адресов. Fail2ban в Plesk, если его не перенастраивать, ориентируется только на IP-адреса (без преобразования имени хоста).
- Fail2Ban не защищает от распределенных атак методом перебора, так как идентифицирует злоумышленников по IP-адресам.
- Если у вас Plesk установлен на VPS, ограничение количества записей в iptables на VPS (
numiptent
) может повлиять на работу Fail2Ban. При превышении этого ограничения работа Fail2Ban будет нарушена, а в журнале Fail2Ban появится подобная запись:fail2ban.actions.action: ERROR iptables -I fail2ban-plesk-proftpd 1 -s 12.34.56.78 -j REJECT --reject-with icmp-port-unreachable returned 100
В этом случае для решения проблемы обратитесь к своему провайдеру хостинга VPS. - Если у вас на сервере Fail2Ban был установлен до обновления до версии Plesk 12, его пакет будет заменен пакетом Fail2Ban из Plesk. Если версия вашего установленного пакета выше версии, поставляемой с Plesk, это может помешать обновлению. Существующие джейлы не будут переписаны, и вы сможете управлять ими через Plesk наряду с джейлами из Plesk 12.
Чтобы предотвратить блокировку конкретного IP-адреса:
- Откройте Инструменты и настройки > Блокировка IP-адресов (Fail2Ban) > Надежные IP-адреса > Добавить надежный IP-адрес.
- В поле IP-адрес введите IP-адрес, диапазон IP-адресов или имя узла DNS и нажмите OK.
Файлы журналов Fail2Ban можно посмотреть и скачать на странице Инструменты и настройки > Блокировка IP-адресов (Fail2Ban) > Журналы .
Посмотреть список заблокированных IP-адресов, разблокировать их или перенести в список надежных можно на странице Инструменты и настройки > Блокировка IP-адресов (Fail2Ban) > Заблокированные IP-адреса .
Посмотреть список IP-адресов, которые никогда не будут заблокированы, а также добавить или удалить IP-адрес из этого списка можно на странице Инструменты и настройки > Блокировка IP-адресов (Fail2Ban) > Надежные IP-адреса .