No name

Links

Software
OtherSoft
Images
Настройка связки Fail2ban (Debian) +Mikrotik

Настройка связки Fail2ban (Debian) +Mikrotik


visibility72 2022-05-29 11:07:29
Задачи: 
1) Сделать связку Fail2ban + Mikrotik
2) Настроить Fail2ban на защиту zoneminder


Настройка Debian:
$ssh-keygen -t rsa

ВАЖНО! После создания связки ключей, публичный нужно скопировать на mikrotik и удалить с Debian, а приватному нужно изменить права 400 (только чтение) в противном случае беспарольная авторизация работать не будет.

$nano /usr/bin/mikrotik (название файла может быть любым, в будущем при вызове в консоли этого названия будет осуществлен переход в SSH консоль роутера без пароля, с помощью сертификата)
#!/bin/bash
ssh -l USERNAME_MIKROTIK -p22 -i /root/.ssh/id_rsa IP_ADDRESS_YOURMICROTIK "$1"

ВАЖНО! Задаем права доступа 755 (делаем его исполняемым)


Настройка Mikrotik

Разрешаем доступ по SSH, если он закрыт, на определенный IP адрес.
Создаем отдельного пользователя, для работы fail2ban, c правами администратора, для того чтобы он мог записывать данные в адрес-лист. Дополнительно можно ограничить пул адресов для доступа.
Сертификат, который был создан на Debian привязываем к пользователю:
System > Users > SSH Keys > Import SSH Key после этого пароль на пользователя перестанет работать, теперь авторизация ТОЛЬКО по ключу.

На этом этапе можно проверить связку путем ввода команды mikrotik (или то, что было создано /usr/bin/YOURNAME) после чего попросит ввести Yes\No, вводим Yes. появится приветствие Mikrotik, второй раз подтверждение делать не нужно. Если всё работает, можно приступать к следующему этапу.


Настройка Fail2ban
$apt install fail2ban

Редактируем блок zoneminder, изменяя путь до лог-файла.
$nano /etc/fail2ban/jail.conf
[zoneminder]
# Zoneminder HTTP/HTTPS web interface auth
# Logs auth failures to apache2 error log
port    = http,https
logpath = /var/log/apache2/YOURLOGFILE

Редактируем шаблон логгов для zoneminder. 

ВАЖНО! Чтобы появлялись логи, необходимо в панели управления Console> Logging> LOG_LEVEL_WEBLOG установить WARNING

$nano /etc/fail2ban/filter.d/zoneminder.conf
# Fail2Ban filter for Zoneminder login failures

[INCLUDES]
before = apache-common.conf

[Definition]

# pattern: [Wed Apr 27 23:12:07.736196 2016] [:error] [pid 2460] [client 10.1.1.1:47296] WAR [Login denied for user "test"], referer: https://zoneminderurl/index.php
# pattern: [Wed Apr 27 23:12:07.736196 2016] [php7:notice] [pid 2460] [client 10.1.1.1:47296] ERR [Login denied for user "test"], referer: https://zoneminderurl/index.php
# pattern: [Wed Apr 27 23:12:07.736196 2016] [php7:notice] [pid 2460] [client 10.1.1.1:47296] ERR [Could not retrieve user test details], referer: https://zoneminderurl/index.php
#
# Option:  failregex
# Notes.:  regex to match the password failure messages in the logfile.

#failregex = 
failregex = ^%(_apache_error_client)s WAR \[Login denied for user "[^"]*"\]
            ^\[\](?: \[php:notice\])?(?: \[pid \d+\])? \[client <HOST>:\d+\] ERR \[Login denied for user "[^"]*"\]
            ^\[\](?: \[php:notice\])?(?: \[pid \d+\])? \[client <HOST>:\d+\] ERR \[Could not retrieve user [^"]*\]

ignoreregex =

# Notes:
# Tested on Zoneminder 1.34.9
#
# Author: John Marzella
# Edited: Sagitt Cyber

Создаем алгоритм действий при обнаружении перебора паролей:
$nano /etc/fail2ban/action.d/mikrotik
[Definition]
actionstart = 
actionstop = 
actioncheck = 
actionban = mikrotik ":ip firewall address-list add list=fail2ban address=<ip> comment=Autofail2Ban-<ip>"
actionunban = mikrotik ":ip firewall address-list remove [:ip firewall address-list find comment=Autofail2Ban-<ip>]"

ВАЖНО! для того чтобы снять блокировку, желательно использовать консоль Debian чтобы fail2ban «знал» о снятии блокировки. Поиск заблокированного для разблокировки осуществляется через поиск комментария в роутере. Команда: fail2ban-client set zoneminder unbanip 1.1.1.1

Активируем настройки
$nano /etc/fail2ban/jail.d/defaults-debian.conf
[zoneminder]
enabled = true
action = mikrotik

Перезагружаем сервис 
$systemctl reload fail2ban

Back