Schlagwort-Archive: GNU/Linux

Unixähnliche Mehrbenutzer-Betriebssysteme, die auf dem Linux-Kernel und wesentlich auf GNU-Software basieren. Wie CentOS, Debian, Ubuntu Fedora.

Linux Howto Tutorials

FTP-Server Installation mit VSFTPD

13. 06. 2021 Don Matteo Schreibe einen Kommentar

FTP-Server Installation mit VSFTPD und Absicherung mit Fail2ban

Very Secure File Transfer Protocol Deamon (VSFTPD), wie uns das gleichnamige Dienstprogramm verspricht, ist VSFTPD ein sicherer FTP-Daemon, dieser als Standard-FTP-Server von den meisten Linux Distributionen verwendet wird, so in Debian, Ubuntu, CentOS, Fedora, RHEL und weiteren mehr. VSFTPD ist ein stabiler FTP-Server dieser unter der GNU General Public License autorisiert ist. VSFTPD wurde entwickelt für eine sichere und einfache Unterstützung virtueller Clients mit PAM (Pluggable Authentication Modules). In diesem Tutorial wird gezeigt, wie man VSFTPD installiert und mit Fail2ban auf Debian 10 (buster) oder anderen Linux Versionen implementiert. Fail2ban ist ein in Python geschriebenes Intrusion Prevention System, das auf jedem Linux Betriebssystem läuft, dieses eine manipulierbare Firewall beinhaltet.

INSTALLATION

Unter Debian und Ubuntu wird VSFTPD mit dem apt Paket Manager aus dem Standard Repository installiert.


$ sudo apt-get install vsftpd -y

1 2	$ sudo apt-get install vsftpd -y

Bei CentOS und RHEL wird VSFTPD mit YUM installiert.


$ sudo yum install vsftpd -y

1 2	$ sudo yum install vsftpd -y

Nach der Installation geht’s zur Konfiguration von VSFTPD.


$ sudo vi /etc/vsftpd.conf

1 2	$ sudo vi /etc/vsftpd.conf

Bei CentOS / RHEL / Fedora ist vsftpd.conf unter /etc/vsftpd.


$ sudo vi /etc/vsftpd/vsftpd.conf

1 2	$ sudo vi /etc/vsftpd/vsftpd.conf

Wer nicht mit VIM arbeitet, kann mit nano oder ne editieren.

Wir deaktivieren die anonyme Anmeldung und erlauben lokalen Benutzern zu schreiben.


anonymous_enable=NO
local_enable=YES
write_enable=YES

anonymous_enable=NO

local_enable=YES

write_enable=YES

chroot für FTP Benutzer

chroot steht für change root und ist eine Funktion für Unixoide Systeme, um das Rootverzeichnis zu ändern. chroot wirkt sich nur auf den aktuellen Prozess und seine Child-Prozesse aus, es ist ein einfacher Jail-Mechanismus in dem das FTP-Dienstprogramm verhindert das Benutzer auf Dateien ausserhalb seines Verzeichnisses zugreifen können. chroot bietet auch eine einfache Möglichkeit, nicht vertrauenswürdige Daten in eine Sandbox zu versetzen. Die chroot Einstellungen für VSFTPD Benutzer findet man in der Datei vsftpd.conf bei Zeile chroot_local_user und ändere dort auf YES, so auch bei chroot_list_enable.


chroot_local_user=YES
chroot_list_enable=YES

chroot_local_user=YES

chroot_list_enable=YES

Alle Benutzer werden chroot zugeteilt, bis auf einige die befreit sind, dazu wird die Datei /etc/vsftpd.chroot_list erstellt, diese Benutzer enthält, die von chroot ausgeschlossen werden.


chroot_list_file=/etc/vsftpd.chroot_list
allow_writeable_chroot=YES

chroot_list_file=/etc/vsftpd.chroot_list

allow_writeable_chroot=YES

CentOS / RHEL Pfad /etc/vsftpd/vsftpd.chroot_list

Um für bestimmte Benutzer die Anmeldung ganz zu verweigern, fügen wir der Datei vsftpd.conf folgende Zeilen hinzu.


userlist_deny=YES
userlist_enable=YES
userlist_file=/etc/vsftpd.userlist

userlist_deny=YES

userlist_enable=YES

userlist_file=/etc/vsftpd.userlist

Erstelle eine Datei vsftpd.userlist und füge Benutzer hinzu diese abgeleht werden sollen. Abgelehnt werden sollten die Service Accounts, da diese gerne für Angriffe genutzt werden. Benutzer pro Zeile hinzufügen, Beispiel: vsftpd.userlist


root
bin
daemon
sys
sync
man
backup
admin
sshd
lp
sync
proxy
list
irc
shutdown
halt
mail
news
uucp
operator
games
nobody
postfix
www-data
ftp
mysql

root

bin

daemon

sys

sync

man

backup

admin

sshd

sync

proxy

list

irc

shutdown

halt

mail

news

uucp

operator

games

nobody

postfix

www-data

ftp

mysql

SFTP verschlüsselte Authentifizierung

Damit Passwörter nicht im Klartext gesendet werden, diese Optionen zur Konfigurationsdatei hinzufügen, einige davon sind bereits verhanden, überprüfe diese und ändere ggf. die Optionen.


ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key

ssl_enable=YES

allow_anon_ssl=NO

force_local_data_ssl=YES

force_local_logins_ssl=YES

ssl_tlsv1=YES

ssl_sslv2=NO

ssl_sslv3=NO

rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem

rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key

Anmerkung: Wird der SSH Server auf dem System ausgeführt, muss beachtet werden, das per Standard SFTP durch den SSH Daemon bereits ausgeführt wird, deshalb die Datei /etc/ssh/sshd_config überprüfen.


Subsystem    sftp  /usr/lib/openssh/sftp-server

1 2	Subsystem sftp /usr/lib/openssh/sftp-server

TIP! Weitere empfohlene VSFTPD Einstellungen


# chroot() jail at times vsftpd does not require filesystem.
secure_chroot_dir=/var/run/vsftpd/empty
# This string is the name of the PAM service vsftpd will use.
pam_service_name=ftp
# Uncomment this to indicate that vsftpd use a utf8 filesystem.
utf8_filesystem=YES
# passive mode FTP port range this allows by firewall.
pasv_min_port=40000
pasv_max_port=50000

# chroot() jail at times vsftpd does not require filesystem.

secure_chroot_dir=/var/run/vsftpd/empty

# This string is the name of the PAM service vsftpd will use.

pam_service_name=ftp

# Uncomment this to indicate that vsftpd use a utf8 filesystem.

utf8_filesystem=YES

# passive mode FTP port range this allows by firewall.

pasv_min_port=40000

pasv_max_port=50000

VSFTPD Schutz mit Fail2ban

Um den FTP-Server vor Brute-Force Angriffe zu schützen, wird Fail2ban (Fehlschlag führt zum Bann) für VSFTPD aktiviert. Bei einer definierten Anzahl fehlgeschlagener Anmeldeversuche, wird der verdächtige Host für eine bestimmte Zeit gesperrt. Fail2ban liest die Anmeldeversuche aus den Logdateien. Hierzu wird Fail2ban auf dem FTP-Server installiert.


$ sudo apt install -y fail2ban

1 2	$ sudo apt install -y fail2ban

Für Fail2ban und VSFTPD die Datei jail.local erstellen, falls nicht bereits vorhanden.


$ sudo vi /etc/fail2ban/jail.local

1 2	$ sudo vi /etc/fail2ban/jail.local

Weiter kann die Datei jail.conf kopiert werden, oder es werden einzelne Blöcke der Services in jail.local hinzugefügt.


[vsftpd]
enabled = true
# or overwrite it in jails.local to be
# logpath = %(syslog_authpriv)s
# if you want to rely on PAM failed login attempts
# vsftpd's failregex should match both of those formats
port     = ftp,ftp-data,ftps,ftps-data
logpath  = %(vsftpd_log)s
findtime=1800
bantime = 7200
maxretry = 4

[vsftpd]

enabled = true

# or overwrite it in jails.local to be

# logpath = %(syslog_authpriv)s

# if you want to rely on PAM failed login attempts

# vsftpd's failregex should match both of those formats

port = ftp,ftp-data,ftps,ftps-data

logpath = %(vsftpd_log)s

findtime=1800

bantime = 7200

maxretry = 4

Der Fail2ban Filter für VSFTPD enthält die Datei unter /etc/fail2ban/filter.d/vsftpd.conf


# Fail2Ban filter for vsftp
# Configure VSFTP for "dual_log_enable=YES", and have fail2ban watch
# /var/log/vsftpd.log instead of /var/log/secure. vsftpd.log file shows the
# incoming ip address rather than domain names.

[INCLUDES]

before = common.conf

[Definition]

__pam_re=\(?%(__pam_auth)s(?:\(\S+\))?\)?:?
_daemon =  vsftpd

failregex = ^%(__prefix_line)s%(__pam_re)s\s+authentication failure; logname=\S* uid=\S* euid=\S* tty=(ftp)? ruser=\S* rhost=<HOST>(?:\s+user=.*)?\s*$
#            ^ \[pid \d+\] \[[^\]]+\] FAIL LOGIN: Client "<HOST>"(?:\s*$|,)
            ^ \[pid \d+\] \[[^\]]+\] FTP response: Client "<HOST>", "530 Login incorrect\."*$

ignoreregex =

# Fail2Ban filter for vsftp

# Configure VSFTP for "dual_log_enable=YES", and have fail2ban watch

# /var/log/vsftpd.log instead of /var/log/secure. vsftpd.log file shows the

# incoming ip address rather than domain names.

[INCLUDES]

before = common.conf

[Definition]

__pam_re=$?%(__pam_auth)s(?:\(\S+$)?\)?:?

_daemon = vsftpd

failregex = ^%(__prefix_line)s%(__pam_re)s\s+authentication failure; logname=\S* uid=\S* euid=\S* tty=(ftp)? ruser=\S* rhost=<HOST>(?:\s+user=.*)?\s*$

# ^ \[pid \d+\] \[[^\]]+\] FAIL LOGIN: Client "<HOST>"(?:\s*$|,)

^ \[pid \d+\] \[[^\]]+\] FTP response: Client "<HOST>", "530 Login incorrect\."*$

ignoreregex =

Im Standard wird /var/log/vsftpd.log ausgelesen, was mit der Variable %(vsftpd_log)s vordefiniert ist.

Für die funktionsweise von Fail2ban sind die Logs von bedeutung. Der FTP-Server (VSFTPD) protokolliert in der Logdatei /var/log/vsftpd.log. Fail2ban ist flexibel und kann für die meisten Anforderungen angepasst werden, wird zusätzlich ein weiteres Diensprogramm eingesetzt, dieses xferlog voraussetzt, kann mit dual_log_enable=YES in beide Logdateien protokolliert werden.


xferlog_enable=YES
log_ftp_protocol=YES
xferlog_file=/var/log/vsftpd.log
xferlog_std_format=NO

xferlog_enable=YES

log_ftp_protocol=YES

xferlog_file=/var/log/vsftpd.log

xferlog_std_format=NO

Um änderungen von Fail2ban zu übernehmen, muss der Daemon neu gestartet werden.


$ sudo systemctl restart fail2ban

1 2	$ sudo systemctl restart fail2ban

Die von Fail2ban gesperrten IP Adressen können überprüft werden, hier als root mit folgendem fail2ban-client Kommando.


$ fail2ban-client status vsftpd
Status for the jail: vsftpd
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     3
|  `- File list:        /var/log/vsftpd.log
`- Actions
   |- Currently banned: 17
   |- Total banned:     126
   `- Banned IP list:

$ fail2ban-client status vsftpd

Status for the jail: vsftpd

|- Filter

| |- Currently failed: 0

| |- Total failed: 3

| `- File list: /var/log/vsftpd.log

`- Actions

|- Currently banned: 17

|- Total banned: 126

`- Banned IP list:

Workaround Tutorials

Alternative IP Adresse hinzufügen

19. 05. 2021 Don Matteo Schreibe einen Kommentar

Zusätzlich zweite IP-Adresse zu Netzwerk Interface hinzufügen

Wenn Netzwerk Geräte diese verwaltet werden sollen in unterschiedlichen Subnets sind, hilft das hinzufügen einer zweiten IP-Adresse zum Netzwerk Interface. Wie bei Windows Clients, unter Linux und für macOS alternative IP-Einstellungen vorgenommen werden, zeigt dieser Beitrag.

Alternative IPv4-Adresse bei Windows
Alternative IPv4-Adresse unter Linux
Alternative IP-Adresse bei macOS

Alternative IPv4-Adresse bei Windows

Um Windows für ein zusätzliches Netzwerk zu konfigurieren, werden die alternativen IP-Einstellungen geöffnet.

Hierzu wie folgt mit drücken der Tasten, Windows-Logo + R das Fenster Ausführen öffnen.

In das Feld ncpa.cpl eingeben und OK klicken.

Die Einstellungen für Netzwerkverbindungen werden geöffnet.

Im geöffneten Fenster Netzwerkverbindungen, über dem aktiven Netzwerkadapter mit Rechtsklick auf Eigenschaften gehen.

Internetprotokoll Version 4 Eigenschaften

Die Zeile Internetprotokoll Version 4 (TCP/IPv4) markieren und auf Eigenschaften klicken, dabei den Hacken nicht entfernen.

Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4), Alternative Konfiguration

Im Abschnitt Alternative Konfiguration eine IP-Adresse eintragen, zB. 192.168.1.2 und die Subnetmaske 255.255.255.0. Die Eingabe mit Klick auf OK bestätigen, um die alternative IP-Adresse zu aktivieren.

Alternative IPv4-Adresse unter Linux

Unter Linux können mehrere IP-Adressen für Netzwerkschnittstellen konfiguriert werden. Wie man temporär eine weitere IP zu einem Netzwerk Interface (Netzwerkkarte) hinzufügt, zeigt folgender Befehl, als Root oder mit sudo in der Linux Shell.


$ ifconfig eth0:0 192.168.1.2 netmask 255.255.255.0 up

1 2	$ ifconfig eth0:0 192.168.1.2 netmask 255.255.255.0 up

Das Netzwerk Interface eth0 kann anders lauten, mit ip link und ip address, oder ifconfig werden die Netzwerkschnittstellen abgefragt. Dabei werden alle Links, wie das loopback Inetrface mit einer Index Nummer ausgegeben, je nachdem wie das System genutzt wird, können bei der verwendung von Docker oder Virtualbox auch virtuelle Links, wie virbr0 darunter sein, oder mit wlp2s0 ein WiFi Interface.


$ ip link
1: lo: <loopback,up,lower_up> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eno1: <broadcast,multicast,up,lower_up> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000
    link/ether 00:23:24:57:c8:ce brd ff:ff:ff:ff:ff:ff
3: wlp2s0: <broadcast,multicast> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000
    link/ether 46:ee:68:41:07:af brd ff:ff:ff:ff:ff:ff
4: virbr0: <no-carrier,broadcast,multicast,up> mtu 1500 qdisc noqueue state DOWN mode DEFAULT group default qlen 1000
    link/ether 52:54:00:de:a3:2c brd ff:ff:ff:ff:ff:ff
</no-carrier,broadcast,multicast,up></broadcast,multicast></broadcast,multicast,up,lower_up></loopback,up,lower_up>

$ ip link

1: lo: <loopback,up,lower_up> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

2: eno1: <broadcast,multicast,up,lower_up> mtu 1500 qdisc fq_codel state UP mode DEFAULT group default qlen 1000

link/ether 00:23:24:57:c8:ce brd ff:ff:ff:ff:ff:ff

3: wlp2s0: <broadcast,multicast> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000

link/ether 46:ee:68:41:07:af brd ff:ff:ff:ff:ff:ff

4: virbr0: <no-carrier,broadcast,multicast,up> mtu 1500 qdisc noqueue state DOWN mode DEFAULT group default qlen 1000

link/ether 52:54:00:de:a3:2c brd ff:ff:ff:ff:ff:ff

</no-carrier,broadcast,multicast,up></broadcast,multicast></broadcast,multicast,up,lower_up></loopback,up,lower_up>

Bei modernen Linux Distributionen wie Debian 10 (buster) oder CentOS 7 und neuer, wird das Command ip address ausgeführt.


$ ip address add 192.168.1.2/24 dev eth0

1 2	$ ip address add 192.168.1.2/24 dev eth0

Alternative IP-Adresse bei macOS

In macOS Terminal zweite IP-Adresse zu Interface en0 hinzufügen.


$ sudo ifconfig en0 inet 192.168.1.2 netmask 255.255.255.0

1 2	$ sudo ifconfig en0 inet 192.168.1.2 netmask 255.255.255.0

Das Gerät kann nun mit Ping überprüft werden, und sofern möglich über SSH oder HTTP, beispielsweise zu 192.168.1.100 verbunden werden.


$ ssh -vv admin@192.168.1.100

1 2	$ ssh -vv admin@192.168.1.100

Bei Linux und macOS ist SSH built in und kann direkt aus dem Terminal genutzt werden.

Linux Howto Tutorials

Verdächtige IP mit Linux Firewall Daemon sperren

7. 05. 2021 Don Matteo Schreibe einen Kommentar

Brute-Force Angriffe mit Firewall Daemon blockieren aus Bash Script

Firewall Daemon für den Schutz vor laufenden Brute-Force Attacken, bei der Erkennung versuchter Angriffe auf den Linux Host. Um den Host permanent zu schützen, können verdächte Anfragen von angreifenden Quellen schnell gesperrt werden. Das folgende bash Script sperrt die IP, diese als Argument übergeben wird und von firewall-cmd auf reject gesetzt wird.


#!/bin/bash
# use in a script to reject a source ip given as an argument
if [[ $# -eq 0 ]] ; then
   echo "No argument supplied"
   echo "use: reject [source ip address]"
   exit 0
fi
echo "$1 to reject"
firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="'$1'" reject'
firewall-cmd --reload
sleep 1
systemctl restart fail2ban
sleep 3
firewall-cmd --list-all
iptables -vnL

#!/bin/bash

# use in a script to reject a source ip given as an argument

if [[ $# -eq 0 ]] ; then

echo "No argument supplied"

echo "use: reject [source ip address]"

exit 0

echo "$1 to reject"

firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="'$1'" reject'

firewall-cmd --reload

sleep 1

systemctl restart fail2ban

sleep 3

firewall-cmd --list-all

iptables -vnL

Das Script wurde auf Debian 10 (buster) geschrieben, bei Debian muss firewalld erst installiert werden, wie auch unter Ubuntu 20. Bei RHEL und CentOS Linux 7+ und Fedora 30 oder höher ist firewalld im Standard und das Script ist gleich anwendbar.

Firewalld Installation auf Debian

Das firewalld-Paket ist in den offiziellen Debian 10 Repositorys verfügbar. Die Installation ist unschwer wie folgender Ablauf zeigt.


$ sudo apt update
$ sudo apt -y install firewalld

$ sudo apt update

$ sudo apt -y install firewalld

Bereitstellung von Firewalld im Terminal mit Root Privileg.


$ sudo ufw disable

1 2	$ sudo ufw disable

Wenn ufw aktiviert ist, muss die Uncomplicated Firewall (ufw) zur Verwaltung der Netfilter deaktiviert werden, um firewalld zur Standard-Firewall zu machen.


$ sudo systemctl enable firewalld
$ sudo systemctl start firewalld

$ sudo systemctl enable firewalld

$ sudo systemctl start firewalld

Den Firewall daemon starten und für den Systemstart aktivieren.


$ sudo firewall-cmd --state
running

$ sudo firewall-cmd --state

running

Ausführung und Erreichbarkeit überprüfen.


$ sudo firewall-cmd --reload

1 2	$ sudo firewall-cmd --reload

Laden der neuen Firewall-Regeln unter beibehalten des Status.

Erscheint bei Debian nach firewall-cmd –reload der Fehler:

Error: COMMAND_FAILED: ‚/usr/sbin/ip6tables-restore -w -n‘ failed: ip6tables-restore v1.8.2 (nf_tables:
line 4: RULE_REPLACE failed (no such file ordirectory): rule in chain OUTPUT

Ist die Lösung das Ausführen von update-alternatives, um Debian zu erzwingen, iptables anstelle von nftables zu verwenden.


$ sudo update-alternatives --set iptables /usr/sbin/iptables-legacy
$ sudo update-alternatives --set ip6tables /usr/sbin/ip6tables-legacy

$ sudo update-alternatives --set iptables /usr/sbin/iptables-legacy

$ sudo update-alternatives --set ip6tables /usr/sbin/ip6tables-legacy

Nach dem wechsel von nftables zu iptables den Linux Rechner mit reboot neu starten.

Firewalld Konfiguration

Firewalld ist eine Firewall-Verwaltungslösung als Frontend für das vom Linux-Kernel bereitgestellte iptables-Paketfiltersystem. firewall-cmd ist das Dienstprogramm zum Verwalten der Firewall-Konfiguration. Der firewalld Daemon verwaltet Gruppen von Regeln mithilfe von Entitäten, die als „Zonen“ bezeichnet werden. Zonen sind wie Regelsätze, die festlegen, welcher Datenverkehr zugelassen werden soll, anhand des Vertrauen der Netzwerke, mit denen der Computer verbunden ist. Den Netzwerkschnittstellen wird eine Zone zugewiesen, um das Verhalten festzulegen, das die Firewall zulassen soll.

Ein Netzwerk Interface zur Default Zone public zugewiesen, unter Verwendung des firewall-cmd Tools, mit dem Kommand zur Überprüfung von Zonen und den Interfaces.


$ sudo firewall-cmd --zone=public --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces:
  sources:
  services: dhcpv6-client https ssh
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:
        rule family="ipv4" source address="10.10.10.1" reject

$ sudo firewall-cmd --zone=public --list-all

public (active)

target: default

icmp-block-inversion: no

interfaces:

sources:

services: dhcpv6-client https ssh

ports:

protocols:

masquerade: no

forward-ports:

source-ports:

icmp-blocks:

rich rules:

rule family="ipv4" source address="10.10.10.1" reject

Erscheint bei interfaces (bei Zeile 6) keine Netzwerk Schnittstelle, muss dieses der Zone noch zugeweisen werden, dazu mit ip oder ifconfig (net-tools) die Schnittstellen abfragen.


$ ip link
$ ip addr
$ ifconfig

$ ip link

$ ip addr

$ ifconfig

Hier bei unserem virtuellen Debian (buster) ist es Link 2 ens33.

Das Interface ens33 wird zur Default Zone public zugewiesen.


$ sudo firewall-cmd --zone=public --change-interface=ens33

1 2	$ sudo firewall-cmd --zone=public --change-interface=ens33

Das zur Zone zugewiesene Interface überprüfen mit der Ausgabe.


$ firewall-cmd --get-active-zones
public
  interfaces: ens33
$ sudo firewall-cmd --zone=public --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources:
  services: dhcpv6-client https ssh
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:
        rule family="ipv4" source address="10.10.10.1" reject

$ firewall-cmd --get-active-zones

public

interfaces: ens33

$ sudo firewall-cmd --zone=public --list-all

public (active)

target: default

icmp-block-inversion: no

interfaces: ens33

sources:

services: dhcpv6-client https ssh

ports:

protocols:

masquerade: no

forward-ports:

source-ports:

icmp-blocks:

rich rules:

rule family="ipv4" source address="10.10.10.1" reject

Das Interface ens33 ist mit der Zone verbunden.

Fail2ban und Firewalld Interaktion

Fail2ban (Fehlschlag führt zum Bann) ist ein in Python entwickeltes IPS und Framework zur Vorbeugung gegen Einbrüche, das auf allen Unixoiden OS läuft, die ein manipulierbares Paketfiltersystem oder eine Firewall besitzen wie iptables oder firewalld unter Linux.

Bei Zeile 13 im Script reject.sh (oben), wird falls vorhanden und ausgeführt, die von Fail2ban verbannten (banned) Adressen nach der manipulation von firewalld, den zuvor aktive Zustand wieder hergestellt. Wird Fail2ban nicht angewandt, können die Zeilen 12 – 14 gelöscht werden.

Script ausführen


./reject.sh 10.10.10.1

1 2	./reject.sh 10.10.10.1

Mit Übergabe der Source-IP wird das Script in der bash ausgeführt, um verdächtige Anfragen durch die Firewall abzulehnen.

Die abgelehnte IP-Adresse kann mit folgender Kommandozeile in der Shell wieder entfernt werden.


$ sudo firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="10.10.10.1" reject'

1 2	$ sudo firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="10.10.10.1" reject'

Die Regel mit firewall-cmd –remove wieder entfernen.


$ sudo firewall-cmd --reload

1 2	$ sudo firewall-cmd --reload

Mit firewall-cmd –reload wird die Änderung aktiviert.

Anwendung und Hilfe zu firewall-cmd


$ sudo firewall-cmd --zone=public --list-all

1 2	$ sudo firewall-cmd --zone=public --list-all

Ausgeben der geänderten und aktivierten Regel der Zone Public.


$ sudo firewall-cmd --list-all
$ sudo iptables -vxnL

$ sudo firewall-cmd --list-all

$ sudo iptables -vxnL

Aktuelle Firewall Regeln überprüfen mit folgenden Kommandos.


$ firewall-cmd --get-default-zone

1 2	$ firewall-cmd --get-default-zone

Standardzone für Verbindungen und Schnittstellen ausgeben.


$ sudo firewall-cmd --set-default-zone=zone_name

1 2	$ sudo firewall-cmd --set-default-zone=zone_name

Eine Zone zur Defaultzone festlegen.


$ firewall-cmd --get-active-zones

1 2	$ firewall-cmd --get-active-zones

Derzeit aktive Zonen ausgeben.


$ firewall-cmd --get-zones

1 2	$ firewall-cmd --get-zones

Vordefinierte Zonen ausgeben.


$ firewall-cmd --help
$ man firewall-cmd

$ firewall-cmd --help

$ man firewall-cmd

Hilfe und man page von firewall-cmd ausgeben.