Ինչպե՞ս ստուգել Fail2banLogs-ը:


Այսօրվա գրառման մեջ մենք պատրաստվում ենք բացատրել, թե ինչպես ստուգել Fail2ban տեղեկամատյանները: Մենք նաև կբացատրենք, թե որոնք են մատյանների մակարդակները և մատյանների թիրախները և ինչպես կարող ենք դրանք փոխել:

Նշում. այստեղ ցուցադրված ընթացակարգը փորձարկվել է Ubuntu 20.04-ում: Այնուամենայնիվ, նույն ընթացակարգը կարելի է հետևել այլ Linux բաշխումներում, որոնցում տեղադրված է Fail2ban:

Ի՞նչ է մատյան ֆայլը:

Մատյան ֆայլերը ավտոմատ կերպով ստեղծվում են հավելվածի կամ ՕՀ-ի կողմից, որոնք ունեն իրադարձությունների գրառում: Այս ֆայլերը հետևում են բոլոր իրադարձություններին, որոնք կապված են դրանք ստեղծած համակարգի կամ հավելվածի հետ: Մատյան ֆայլերի նպատակը տեսարանի հետևում տեղի ունեցածի գրառումն է, որպեսզի եթե ինչ-որ բան պատահի, մենք կարողանանք տեսնել այն իրադարձությունների մանրամասն ցուցակը, որոնք տեղի են ունեցել մինչ խնդիրը: Դա առաջին բանն է, որ ստուգում են ադմինիստրատորները, երբ նրանք բախվում են որևէ խնդրի: log ֆայլերի մեծ մասն ավարտվում է .log կամ .txt ընդլայնմամբ:

Fail2ban մատյան ֆայլ

Fail2ban-ը ստեղծում է մատյան ֆայլ, որը գրանցում է բոլոր իրադարձությունները միացման փորձերի համար: Fail2ban հավելվածն ինքն է վերահսկում իր մատյանների ֆայլերը՝ նույնականացման ձախողված փորձերի կամ կասկածելի գործողությունների համար: Նախապես սահմանված թվով անհաջող նույնականացման փորձերից հետո այն արգելում է աղբյուրի IP հասցեները որոշակի ժամանակով: Հետևաբար, այն արդյունավետ է ներխուժումը կանխելու համար՝ նախքան ձեր համակարգը վտանգի ենթարկելը:

Ինչպե՞ս ստուգել Fail2ban log ֆայլը:

Դուք կարող եք գտնել Fail2ban log ֆայլը /var/log/fail2ban գրացուցակում: Մատյան ֆայլը դիտելու համար օգտագործեք ստորև նշված հրամանը.

$ cat /var/log/fail2ban.log

Սա վերը նշված հրամանի արդյունքն է, որը ցույց է տալիս տարբեր իրադարձություններ՝ տեղի ունենալու ամսաթվի և ժամի հետ միասին:

Եթե մենք կենտրոնանանք վերը նշված ելքի վերջին չորս տողերի վրա, մենք կարող ենք տեսնել երկու Գտնված գրառում, որոնք ցույց են տալիս աղբյուրի IP հասցեի միացման երկու փորձ 192.168.72.186: Երրորդ փորձից հետո սկզբնաղբյուր IP-ն արգելափակվել է, որը ցուցադրվում է Արգելել մուտքով (որպես maxretry=2): Այնուհետև վերջին մուտքն է Անջատել արգելքը, որը ցույց է տալիս, որ IP հասցեն հանվել է 20 վայրկյանից հետո (որպես bantime=20 վրկ):

Մատյան Մակարդակ

Մատյան մակարդակը ցույց է տալիս գրանցված իրադարձության տեսակը և ծանրության աստիճանը: Fail2ban-ում կան տեղեկամատյանների տարբեր մակարդակներ, դրանք հետևյալն են.

  • ԿՐԻՏԻԿԱԿԱՆ (Կրիտիկական պայմաններ. պետք է անհապաղ հետաքննվեն)

  • ՍԽԱԼ (Երբ ինչ-որ բան սխալ է ընթանում, բայց ոչ կարևոր)

  • ԶԳՈՒՇԱՑՈՒՄ (Պոտենցիալ վնասակար իրադարձություններ)

  • ԾԱՆՈՒՑՈՒՄ (Նորմալ, բայց նշանակալի վիճակ)

  • INFO (Տեղեկատվական հաղորդագրություններ, որոնք կարող են անտեսվել)

  • DEBUG (Վրիպազերծման մակարդակի հաղորդագրություններ)

Մատյանների մակարդակները սահմանված են /etc/fail2ban/fail2ban.local-ում: Ընթացիկ մատյան մակարդակը դիտելու համար օգտագործեք ստորև նշված հրամանը.

$ sudo fail2ban-client get loglevel

Հետևյալ ելքը ցույց է տալիս, որ Fail2ban-ի ընթացիկ մատյան մակարդակը INFO է:

Մատյանների մակարդակի փոփոխություն

Fail2ban-ի գրանցամատյանի մակարդակը փոխելու համար դուք պետք է խմբագրեք դրա գլոբալ կազմաձևման ֆայլը: Fail2ban կազմաձևման ֆայլը fail2ban.conf է /etc/fail2ban գրացուցակի տակ: Այնուամենայնիվ, առաջարկվում է ուղղակիորեն չխմբագրել այս ֆայլը: Փոխարենը, եթե Ձեզ անհրաժեշտ է որևէ կոնֆիգուրացիայի փոփոխություն կատարել, ստեղծեք fail2ban.local ֆայլ:

1. Եթե արդեն ստեղծել եք fail2ban.local ֆայլը, ապա կարող եք թողնել այս քայլը։ Ստեղծեք fail2ban.local ֆայլ՝ օգտագործելով այս հրամանը Տերմինալում.

$ sudo cp /etc/fail2ban/fail2ban.conf /etc/fail2ban/fail2ban.local

2. Խմբագրել fail2ban.local ֆայլը՝ օգտագործելով ստորև նշված հրամանը Տերմինալում.

$ sudo nano /etc/fail2ban/fail2ban.local

3. Այժմ գտեք loglevel գրառումը fail2ban.local ֆայլում (կարող եք օգտագործել Ctrl+w՝ Nano խմբագրիչում ցանկացած մուտք գտնելու համար): Այնուհետև փոխեք գրանցամատյանի մակարդակի մուտքագրումը ցանկալի մատյան մակարդակին: Օրինակ՝ գրանցամատյանի մակարդակը ԿՐԻՏԻԿԱԿԱՆ սահմանելու համար փոխեք դրա արժեքը՝

loglevel = CRITICAL

Այնուհետև պահեք և դուրս եկեք fail2ban.local ֆայլից:

4. Վերագործարկեք Fail2banservice-ը հետևյալ կերպ.

$ sudo systemctl restart fail2ban

5. Այժմ, հաստատելու համար, թե արդյոք գրանցամատյանի մակարդակը փոխվել է ցանկալի մակարդակի, օգտագործեք ստորև նշված հրամանը.

$ sudo fail2ban-client get loglevel

Մատյան թիրախ

Fail2ban logging-ում կարող եք ընտրել, թե որտեղ ուղարկել տեղեկամատյանները: Մատյան թիրախ կարող է լինել ցանկացած ֆայլ՝ STDOUT, STDERR կամ SYSLOG: Այնուամենայնիվ, դուք կարող եք նշել միայն մեկ մատյան թիրախ: Լռելյայնորեն, Fail2banlogs-ի դեպքում գրանցման բոլոր իրադարձությունները գտնվում են /var/log/fail2ban.log ֆայլում: Ընթացիկ մատյան թիրախը գտնելու համար օգտագործեք ստորև նշված հրամանը.

$ sudo fail2ban-client get logtarget

Հետևյալ ելքը ցույց է տալիս, որ ընթացիկ մատյան թիրախը /var/log/fail2ban.log ֆայլ է:

Մատյան թիրախի փոփոխություն

Մատյան թիրախը սովորաբար փոփոխման կարիք չունի: Այնուամենայնիվ, այն փոփոխելու անհրաժեշտության դեպքում, կարող եք դա անել հետևյալ կերպ.

1. Մատյան թիրախը փոխելու համար խմբագրեք fail2ban.local՝ օգտագործելով ստորև նշված հրամանը Տերմինալում:

$ sudo nano /etc/fail2ban/fail2ban.local

Եթե fail2ban.local ֆայլը ստեղծված չէ, կարող եք ստեղծել այն, ինչպես ցույց է տրված նախորդ Գրանցման մակարդակի փոփոխում բաժնում:

2. Այժմ գտեք logtarget գրառումը fail2ban.local ֆայլում: Կարող եք օգտագործել Ctrl+w՝ Nano խմբագրիչում ցանկացած մուտք գտնելու համար:

3. Փոխեք logtarget գրառումը ցանկալի թիրախին, որը կարող է լինել ցանկացած ֆայլ, ինչպիսիք են STDOUT, STDERR կամ SYSLOG: Այնուհետև պահեք և դուրս եկեք fail2ban.local ֆայլից:

4. Վերագործարկեք Fail2banservice-ը հետևյալ կերպ.

$ sudo systemctl restart fail2ban

5. Մատյան թիրախը փոխելուց հետո կարող եք հաստատել այն՝ օգտագործելով ստորև նշված հրամանը.

$ sudo fail2ban-client get logtarget

Արդյունքը այժմ պետք է ցույց տա նոր մատյան թիրախը:

Այս գրառման մեջ դուք սովորել եք, թե ինչպես ստուգել Fail2ban տեղեկամատյանները: Դուք նաև սովորել եք Fail2ban գրանցամատյանների մակարդակների և գրանցամատյանների թիրախների մասին և ինչպես փոխել դրանք, եթե երբևէ դա անհրաժեշտ լինի: