Ինչպե՞ս ստուգել Fail2banLogs-ը:
Այսօրվա գրառման մեջ մենք պատրաստվում ենք բացատրել, թե ինչպես ստուգել Fail2ban տեղեկամատյանները: Մենք նաև կբացատրենք, թե որոնք են մատյանների մակարդակները և մատյանների թիրախները և ինչպես կարող ենք դրանք փոխել:
Նշում. այստեղ ցուցադրված ընթացակարգը փորձարկվել է Ubuntu 20.04-ում: Այնուամենայնիվ, նույն ընթացակարգը կարելի է հետևել այլ Linux բաշխումներում, որոնցում տեղադրված է Fail2ban:
Ի՞նչ է մատյան ֆայլը:
Մատյան ֆայլերը ավտոմատ կերպով ստեղծվում են հավելվածի կամ ՕՀ-ի կողմից, որոնք ունեն իրադարձությունների գրառում: Այս ֆայլերը հետևում են բոլոր իրադարձություններին, որոնք կապված են դրանք ստեղծած համակարգի կամ հավելվածի հետ: Մատյան ֆայլերի նպատակը տեսարանի հետևում տեղի ունեցածի գրառումն է, որպեսզի եթե ինչ-որ բան պատահի, մենք կարողանանք տեսնել այն իրադարձությունների մանրամասն ցուցակը, որոնք տեղի են ունեցել մինչ խնդիրը: Դա առաջին բանն է, որ ստուգում են ադմինիստրատորները, երբ նրանք բախվում են որևէ խնդրի: log ֆայլերի մեծ մասն ավարտվում է .log կամ .txt ընդլայնմամբ:
Fail2ban մատյան ֆայլ
Fail2ban-ը ստեղծում է մատյան ֆայլ, որը գրանցում է բոլոր իրադարձությունները միացման փորձերի համար: Fail2ban հավելվածն ինքն է վերահսկում իր մատյանների ֆայլերը՝ նույնականացման ձախողված փորձերի կամ կասկածելի գործողությունների համար: Նախապես սահմանված թվով անհաջող նույնականացման փորձերից հետո այն արգելում է աղբյուրի IP հասցեները որոշակի ժամանակով: Հետևաբար, այն արդյունավետ է ներխուժումը կանխելու համար՝ նախքան ձեր համակարգը վտանգի ենթարկելը:
Ինչպե՞ս ստուգել Fail2ban log ֆայլը:
Դուք կարող եք գտնել Fail2ban log ֆայլը /var/log/fail2ban գրացուցակում: Մատյան ֆայլը դիտելու համար օգտագործեք ստորև նշված հրամանը.
Սա վերը նշված հրամանի արդյունքն է, որը ցույց է տալիս տարբեր իրադարձություններ՝ տեղի ունենալու ամսաթվի և ժամի հետ միասին:
Եթե մենք կենտրոնանանք վերը նշված ելքի վերջին չորս տողերի վրա, մենք կարող ենք տեսնել երկու Գտնված գրառում, որոնք ցույց են տալիս աղբյուրի IP հասցեի միացման երկու փորձ 192.168.72.186: Երրորդ փորձից հետո սկզբնաղբյուր IP-ն արգելափակվել է, որը ցուցադրվում է Արգելել մուտքով (որպես maxretry=2): Այնուհետև վերջին մուտքն է Անջատել արգելքը, որը ցույց է տալիս, որ IP հասցեն հանվել է 20 վայրկյանից հետո (որպես bantime=20 վրկ):
Մատյան Մակարդակ
Մատյան մակարդակը ցույց է տալիս գրանցված իրադարձության տեսակը և ծանրության աստիճանը: Fail2ban-ում կան տեղեկամատյանների տարբեր մակարդակներ, դրանք հետևյալն են.
ԿՐԻՏԻԿԱԿԱՆ (Կրիտիկական պայմաններ. պետք է անհապաղ հետաքննվեն)
ՍԽԱԼ (Երբ ինչ-որ բան սխալ է ընթանում, բայց ոչ կարևոր)
ԶԳՈՒՇԱՑՈՒՄ (Պոտենցիալ վնասակար իրադարձություններ)
ԾԱՆՈՒՑՈՒՄ (Նորմալ, բայց նշանակալի վիճակ)
INFO (Տեղեկատվական հաղորդագրություններ, որոնք կարող են անտեսվել)
DEBUG (Վրիպազերծման մակարդակի հաղորդագրություններ)
Մատյանների մակարդակները սահմանված են /etc/fail2ban/fail2ban.local-ում: Ընթացիկ մատյան մակարդակը դիտելու համար օգտագործեք ստորև նշված հրամանը.
Հետևյալ ելքը ցույց է տալիս, որ Fail2ban-ի ընթացիկ մատյան մակարդակը INFO է:
Մատյանների մակարդակի փոփոխություն
Fail2ban-ի գրանցամատյանի մակարդակը փոխելու համար դուք պետք է խմբագրեք դրա գլոբալ կազմաձևման ֆայլը: Fail2ban կազմաձևման ֆայլը fail2ban.conf է /etc/fail2ban գրացուցակի տակ: Այնուամենայնիվ, առաջարկվում է ուղղակիորեն չխմբագրել այս ֆայլը: Փոխարենը, եթե Ձեզ անհրաժեշտ է որևէ կոնֆիգուրացիայի փոփոխություն կատարել, ստեղծեք fail2ban.local ֆայլ:
1. Եթե արդեն ստեղծել եք fail2ban.local ֆայլը, ապա կարող եք թողնել այս քայլը։ Ստեղծեք fail2ban.local ֆայլ՝ օգտագործելով այս հրամանը Տերմինալում.
2. Խմբագրել fail2ban.local ֆայլը՝ օգտագործելով ստորև նշված հրամանը Տերմինալում.
3. Այժմ գտեք loglevel գրառումը fail2ban.local ֆայլում (կարող եք օգտագործել Ctrl+w՝ Nano խմբագրիչում ցանկացած մուտք գտնելու համար): Այնուհետև փոխեք գրանցամատյանի մակարդակի մուտքագրումը ցանկալի մատյան մակարդակին: Օրինակ՝ գրանցամատյանի մակարդակը ԿՐԻՏԻԿԱԿԱՆ սահմանելու համար փոխեք դրա արժեքը՝
Այնուհետև պահեք և դուրս եկեք fail2ban.local ֆայլից:
4. Վերագործարկեք Fail2banservice-ը հետևյալ կերպ.
5. Այժմ, հաստատելու համար, թե արդյոք գրանցամատյանի մակարդակը փոխվել է ցանկալի մակարդակի, օգտագործեք ստորև նշված հրամանը.
Մատյան թիրախ
Fail2ban logging-ում կարող եք ընտրել, թե որտեղ ուղարկել տեղեկամատյանները: Մատյան թիրախ կարող է լինել ցանկացած ֆայլ՝ STDOUT, STDERR կամ SYSLOG: Այնուամենայնիվ, դուք կարող եք նշել միայն մեկ մատյան թիրախ: Լռելյայնորեն, Fail2banlogs-ի դեպքում գրանցման բոլոր իրադարձությունները գտնվում են /var/log/fail2ban.log ֆայլում: Ընթացիկ մատյան թիրախը գտնելու համար օգտագործեք ստորև նշված հրամանը.
Հետևյալ ելքը ցույց է տալիս, որ ընթացիկ մատյան թիրախը /var/log/fail2ban.log ֆայլ է:
Մատյան թիրախի փոփոխություն
Մատյան թիրախը սովորաբար փոփոխման կարիք չունի: Այնուամենայնիվ, այն փոփոխելու անհրաժեշտության դեպքում, կարող եք դա անել հետևյալ կերպ.
1. Մատյան թիրախը փոխելու համար խմբագրեք fail2ban.local՝ օգտագործելով ստորև նշված հրամանը Տերմինալում:
Եթե fail2ban.local ֆայլը ստեղծված չէ, կարող եք ստեղծել այն, ինչպես ցույց է տրված նախորդ Գրանցման մակարդակի փոփոխում բաժնում:
2. Այժմ գտեք logtarget գրառումը fail2ban.local ֆայլում: Կարող եք օգտագործել Ctrl+w՝ Nano խմբագրիչում ցանկացած մուտք գտնելու համար:
3. Փոխեք logtarget գրառումը ցանկալի թիրախին, որը կարող է լինել ցանկացած ֆայլ, ինչպիսիք են STDOUT, STDERR կամ SYSLOG: Այնուհետև պահեք և դուրս եկեք fail2ban.local ֆայլից:
4. Վերագործարկեք Fail2banservice-ը հետևյալ կերպ.
5. Մատյան թիրախը փոխելուց հետո կարող եք հաստատել այն՝ օգտագործելով ստորև նշված հրամանը.
Արդյունքը այժմ պետք է ցույց տա նոր մատյան թիրախը:
Այս գրառման մեջ դուք սովորել եք, թե ինչպես ստուգել Fail2ban տեղեկամատյանները: Դուք նաև սովորել եք Fail2ban գրանցամատյանների մակարդակների և գրանցամատյանների թիրախների մասին և ինչպես փոխել դրանք, եթե երբևէ դա անհրաժեշտ լինի: